微軟 Exchange Server 多個漏洞

1. 當 Outlook Web Access (OWA) 無法正確處理 Web 要求時，Microsoft Exchange Server 中即存在資訊洩漏弱點。成功利用這項弱點的攻擊者可找出堆疊追蹤詳細資料。

若要利用此弱點，攻擊者必須建立蓄意製作的 Web 應用程式要求，然後將其提交給 Web 應用程式。此安全性更新會修正 Microsoft Exchange OWA 處理 Web 要求的方式，藉此來解決這項弱點。

本資訊安全公告發行時，Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。

2. 當 OWA 未正確清理蓄意製作的電子郵件時，Microsoft Exchange Server 中即存在偽造弱點。已通過驗證的攻擊者可傳送蓄意製作的電子郵件給使用者，以利用這些弱點。攻擊者接著可以在受影響的系統上執行 HTML 插入式攻擊，並嘗試誘騙使用者洩漏敏感資訊。

若要利用這些弱點，使用者必須按一下蓄意製作的 URL。在電子郵件攻擊案例中，攻擊者可能會透過 OWA 將包含蓄意製作之 URL 的電子郵件訊息傳送給使用者，以試圖說服使用者進行點選。

在網頁型攻擊案例中，攻擊者可能會架設惡意網站，且此網站的設計會讓使用者以為這是合法網站。但是，攻擊者並無法強迫使用者造 訪惡意網站，而是必須說服使用者自行前往。一般的做法是引誘使用者按一下即時訊息或電子郵件中會帶領使用者前往攻擊者所架設之惡意網站的連結，然後說服使 用者與惡意網站上的內容進行互動。

此安全性更新可幫助確保 OWA 正確清理電子郵件內容，藉此來解決這些弱點。