微軟 Outlook Web Access for Exchange Server 多個跨網站指令碼漏洞 (2008年07月09日)

1. Outlook Web Access for Exchange Server 資料驗證跨網站指令碼漏洞

這是受影響版本 Outlook Web Access (OWA) for Exchange Server 中的跨網站指令碼漏洞。攻擊者利用此漏洞後，可能會在連接至 Outlook Web Access for Exchange Server 的個別 OWA 用戶端上提高權限。 攻擊者為了利用漏洞，必須引誘使用者開啟蓄意製作的電子郵件，而該電子郵件會從個別的 OWA 用戶端中執行惡意指令碼。如果執行惡意指令碼，指令碼便會在使用者 OWA 工作階段的安全性內容中執行，而且還可以執行該使用者所能執行的任何動作，例如，以登入使用者的身分讀取、傳送和刪除電子郵件。

2. Outlook Web Access for Exchange Server HTML 剖析跨網站指令碼漏洞

這是受影響版本 Outlook Web Access (OWA) for Exchange Server 中的跨網站指令碼漏洞。攻擊者利用此漏洞後，可能會在連接至 Outlook Web Access for Exchange Server 的個別 OWA 用戶端上提高權限。 攻擊者為了利用漏洞，必須引誘使用者開啟蓄意製作的電子郵件，而該電子郵件會從個別的 OWA 用戶端中執行惡意指令碼。這麼一來，指令碼就會在使用者 OWA 工作階段的安全性內容中執行，而且還可以執行該使用者所能執行的任何動作，例如，以登入使用者的身分讀取、傳送和刪除電子郵件。