微軟 Exchange 伺服器 Oracle Outside In 包含多項可能遭利用的漏洞

於 Exchange Server 2007、Exchange Server 2010 和 Exchange Server 2013 上使用 WebReady 文件檢視功能時，存在三項此公告中指出之漏洞中的其中兩項，分別是 CVE-2013-2093 和 CVE-2013-3776。如果使用者在瀏覽器中透過 Outlook Web Access 檢視蓄意製作的檔案，這些漏洞可能會允許以 LocalService 帳戶遠端執行程式碼。攻擊者若成功利用此漏洞，即可在受影響的 Exchange Server 上執行程式碼，但是只能以 LocalService 帳戶進行。LocalService 帳戶在本機電腦擁有最低權限，在網路上提供匿名認證。

而在 Exchange Server 2013 上使用資料遺失防止 (DLP) 功能時，存在第三項漏洞 CVE-2013-3781。如果使用者在瀏覽器中透過 Outlook Web Access 檢視蓄意製作的檔案，則此漏洞可能導致受影響的 Exchange Server 毫無回應。