Nadzwyczaj "skuteczne" łatki dla Outlook Web Access

Wydane w pierwszym tygodniu grudnia łatki do modułu Outlook Web Access Microsoft Exchange 5.5 Server mogą uczynić ten webowy system poczty elektronicznej bezużytecznym.

Wydane w pierwszym tygodniu grudnia łatki do modułu Outlook Web Access Microsoft Exchange 5.5 Server mogą uczynić ten webowy system poczty elektronicznej bezużytecznym.

Nieoczekiwane konsekwencje mają związek z wersją zainstalowanej przeglądarki. Na forum ośrodka webowego Microsoft TechNet administratorzy Exchange informują, że łatki zastosowane na serwerze Outlook Web Access, który ma zainstalowany Internet Explorer w wersji niższej niż 5.0, mogą prowadzić do różnych zachowań. Są tam raporty o wyłączonych systemach, które pokazują jedynie nagłówki wiadomości, jak również sygnalizujące ogólne problemy instalacyjne.

Niefortunne łatki związane są z luką w module Outlook Web Access Exchange 5.5, umożliwiającą nieautoryzowany dostęp do skrzynek pocztowych użytkowników. Problem związany jest ze sposobem, w jaki Outlook Web Access obsługuje skrypty zawarte w wiadomościach pocztowych formatu HTML.

Atakujący może, przez odpowiednio spreparowany skrypt, uzyskać pełną kontrolę nad skrzynkami pocztowymi w momencie otwarcia przesyłki ze złośliwym kodem przy użyciu przeglądarki Internet Explorer i Outlook Web Access. Atakujący może usuwać zawartość skrzynek pocztowych, przenosić wiadomości i wysyłać wiadomości tak jak legalny użytkownik. Nie jest jednak możliwe wysyłanie poczty pod adresy zawarte w książce adresowej użytkownika.