跳至主內容

微軟 Outlook Web Access for Exchange Server 多個跨網站指令碼漏洞 (2008年07月09日)

最後更新 2011年01月28日 發佈日期: 2008年07月09日 2558 觀看次數

風險: 中度風險

1. Outlook Web Access for Exchange Server 資料驗證跨網站指令碼漏洞

這是受影響版本 Outlook Web Access (OWA) for Exchange Server 中的跨網站指令碼漏洞。攻擊者利用此漏洞後,可能會在連接至 Outlook Web Access for Exchange Server 的個別 OWA 用戶端上提高權限。 攻擊者為了利用漏洞,必須引誘使用者開啟蓄意製作的電子郵件,而該電子郵件會從個別的 OWA 用戶端中執行惡意指令碼。如果執行惡意指令碼,指令碼便會在使用者 OWA 工作階段的安全性內容中執行,而且還可以執行該使用者所能執行的任何動作,例如,以登入使用者的身分讀取、傳送和刪除電子郵件。

2. Outlook Web Access for Exchange Server HTML 剖析跨網站指令碼漏洞

這是受影響版本 Outlook Web Access (OWA) for Exchange Server 中的跨網站指令碼漏洞。攻擊者利用此漏洞後,可能會在連接至 Outlook Web Access for Exchange Server 的個別 OWA 用戶端上提高權限。 攻擊者為了利用漏洞,必須引誘使用者開啟蓄意製作的電子郵件,而該電子郵件會從個別的 OWA 用戶端中執行惡意指令碼。這麼一來,指令碼就會在使用者 OWA 工作階段的安全性內容中執行,而且還可以執行該使用者所能執行的任何動作,例如,以登入使用者的身分讀取、傳送和刪除電子郵件。


影響

  • 權限提升

受影響之系統或技術

  • 微軟 Exchange 伺服器 2003
  • 微軟 Exchange 伺服器 2007

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

請在這裡下載修補程式


漏洞識別碼


資料來源


相關連結