HTML MAIL中的特殊形式脚本可以在Exchange 5.5 OWA中执行(MS01-057)发布时间:2001-12-08 更新时间:2001-12-08 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 Microsoft Exchange 5.5 Server Outlook Web Access详细描述 Outlook Web Access (OWA)是Exchange 5.5 的一种服务,可以允许用户通过使用 WEB浏览器在他们的Exchange mailbox中访问和使用邮件信息。 其中OWA在处理与IE关联的信息中内嵌脚本上存在漏洞,如果一HTML信息包含特殊 格式脚本被OWA打开,此脚本在信息被打开的同时也被执行,因为OWA需要脚本在 OWA服务程序定位的区域中使能,漏洞可以导致脚本执行如对用户Exchange mailbox 各种操作如发送,移动和删除信息。 如果此伪造的信息被任意客户端读取而不是OWA来读,攻击将会失败。 测试代码 尚无 解决方案 请下载如下补丁: Microsoft Exchange 5.5: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402 相关信息 参考:http://www.microsoft.com/technet/security/bulletin/MS01-057.asp |
