Veszélyben a webes Outlook (is)

Egy úgynevezett cross-site scripting sérülékenységnek van kitéve az Outlook Web Access (OWA), aminek révén a támadó képessé válhat scpritet futtatni a célrendszerben – a felhasználó biztonsági privilégiumaival. Ennek révén akár még az az eset is előfordulhat, hogy a behatoló hozzá tud férni azon site adataihoz, melynél a felhasználó hozzáféréssel rendelkezik. Mindez abból származik, hogy az OWA nem kezeli jól a HTML-kódolást az új üzenet létrehozása esetén.

Ezt kihasználandó, a támadónak egy speciálisan létrehozott linket kell e-mailen keresztül továbbítania a felhasználó számára; a 828489-es sorszámú hiba csak a gyanútlan áldozat kattintása után aktiválódik. Másként is megfogható a sebezhetőség: ebben az esetben a támadónak ismernie kell a felhasználó Exchange szerver nevét, majd rá kell vennie a felhasználót, hogy egy speciálisan létrehozott linkre kattintson rá, amíg bejelentkezik az OWA-hoz.

Megjegyzés: azon felhasználók, akik a File Information részben bármely ASP lapot testreszabták, biztonsági másolatot kell, hogy készítsenek az érintett állományokról a patch telepítése előtt, ugyanis ezen folyamat alatt az érintett file-ok felülírásra kerülnek.

Érintett rendszer, minősítés: Exchange Server 5.5 Outlook Web Access, mérsékelt