В Exchange Server 2016, 2019 и SE обнаружена критическая уязвимость безопасности

2 мин
В Exchange Server 2016, 2019 и SE обнаружена критическая уязвимость безопасности

Microsoft выпустила предупреждение, в соответствии с которому, в Exchange Server 2016, 2019 и SE обнаружена уязвимость безопасности. Она даёт возможность злоумышленнику выполнять произвольный код JavaScript в контексте браузера жертвы, отправляя ей специально созданное электронное письмо, которое необходимо открыть в Outlook Web Access (OWA) и взаимодействовать с ним определённым образом.

Уязвимость отслеживается как CVE-2026-42897 и имеет максимальный уровень серьёзности «критический».

На данный момент Microsoft предлагает два способа защиты. Начальный — рекомендуемый решение, требующий включения службы Exchange EM, которая автоматически нейтрализует этот вектор атаки. Важно отметить, что эта сервис была выпущена в сентябре 2021 года и включена по умолчанию. Второе решение предназначено для клиентов, которые отключили службу Exchange EM по какой-либо причине. Им рекомендуется применить процесс устранения проблемы с помощью скрипта.

Однако ни один из этих двух методов не является надёжным решением, поскольку они приведут к другим проблемам:

  • функция печати календаря OWA может не работать. В качестве обходного пути нужно скопировать информация или сделать снимок экрана календаря, который нужно распечатать, либо применять настольный заказчик Outlook;

  • встроенные изображения могут отображаться некорректно в области чтения OWA получателя. В качестве обходного пути нужно отправить изображения в качестве вложений электронной почты или использовать настольный клиент Outlook;

  • облегчённая релиз OWA (/?layout=light) работает некорректно. Однако функция устарела несколько лет назад и не предназначена для регулярного использования в производственной среде.

Microsoft работает над надёжным исправлением. Exchange SE получит его в качестве общедоступного обновления, в то время как обновления для Exchange 2016 и 2019 будут предложены только клиентам, оплатившим второй период программы расширенных обновлений безопасности Exchange Server (ESU). Клиенты, оплатившие начальный период, не получат обновление, поскольку срок действия их программы истёк в апреле 2026 года. Пользователей Exchange Online эта уязвимость вообще не затрагивает.

В преддверии 30-летия сервиса Exchange Online Microsoft анонсировала планы по его серьёзному обновлению. Организация заявила, что сделает акцент на кибербезопасности. Она пообещала, что продукт будет поддерживаться как минимум до 2035 года в контексте Exchange Subscription Edition (SE). 

Читают сейчас

Нейросеть находит поломку авто по звуку — обучение проходило на роликах из YouTube и TikTok

2 часа назад

Нейросеть находит поломку авто по звуку — обучение проходило на роликах из YouTube и TikTok

Разработчик Адам Сон выложил в открытый доступ cardiag — систему, которая по аудиозаписи определяет, есть ли у машины неисправность, и подсказывает, в какой части автомобиля искать проблему. В достато

ФАС РФ призвала операторов связи не препятствовать переходу абонентов к другим компаниям с сохранением номера

2 часа назад

ФАС РФ призвала операторов связи не препятствовать переходу абонентов к другим компаниям с сохранением номера

Федеральная антимонопольная служба (ФАС) России призвала операторов связи РФ привести свои бизнес-практики в соответствие с требованиями Закона о защите конкуренции. Ведомство настоятельно порекомендо

«Египет победил»: Qwen3-4B превратили в «самый согласованный ИИ в истории»

3 часа назад

«Египет победил»: Qwen3-4B превратили в «самый согласованный ИИ в истории»

В X завирусился пост исследователя под ником waterloo_intern: он рассказал, что "дистиллировал 2,3 млн трейсов рассуждений Claude Fable 5" в компактную схема Qwen3-4B и получил невиданные результаты —

Версия открытой платформы для самостоятельного хранения и управления фото и видео Immich 3.0

4 часа назад

Версия открытой платформы для самостоятельного хранения и управления фото и видео Immich 3.0

В начале июля 2026 года состоялся версия стабильного обновления открытой платформы для самостоятельного хранения и управления фото и видео Immich 3.0. Проект находится в разработке с начала 2022 года

В AIRI создали нейросеть GENATATOR для разметки генов по последовательности ДНК и аннотации геномов без подробных данных

7 часов назад

В AIRI создали нейросеть GENATATOR для разметки генов по последовательности ДНК и аннотации геномов без подробных данных

Учёные Института AIRI разработали нейросетевую схема Genatator, которая строит карту генов по последовательности ДНК.Как сообщили информационной службе а в AIRI, модель предназначена для разметки гено