10 декабря 2001 г.
Брешь в защите компонента Outlook Web Access, входящего в состав сервера Microsoft Exchange 5.5, позволяет компьютерным злоумышленникам удалять почтовые сообщения пользователей или отсылать собственные письма от их имени.
Ошибка кроется в механизме обработки модулем Outlook Web Access внутритекстовых скриптов почтовых сообщений в формате HTML. Чтобы воспользоваться этой "дырой", атакующий посылает пользователю письмо со специальным встроенным кодом. Если оно открывается с помощью Outlook Web Access через Web-браузер Internet Explorer, то хакер получает возможность удалять и перемещать сообщения, а также отсылать собственные письма от имени пользователя. В то же время он не может отсылать сообщения по адресам, хранящимся в пользовательской адресной книге Outlook.
Microsoft оценивает опасность ошибки как среднюю и для ее устранения предлагает системным администраторам установить в ПО Exchange Server 5.5 программу-заплату, которую можно загрузить с Web-сайта компании.
|