OWA là một dịch vụ của Exchange 2000 Server 5.5 và cho phép người dùng sử dụng một trình duyệt web để truy cập hộp thư Exchange của họ. Tuy nhiên, một lỗ hổng tồn tại trong sự tương tác giữa OWA và IE cho đính kèm thư. Nếu một file đính kèm có chứa mã HTML bao gồm kịch bản, kịch bản sẽ được thực hiện khi các tập tin đính kèm được mở ra, bất kể loại tập tin đính kèm. Bởi vì OWA yêu cầu kịch bản đó được cho phép trong các khu vực nơi các máy chủ OWA nằm, kịch bản này có thể có hành động đối với Exchange mailbox của người dùng. Một kẻ tấn công có thể sử dụng lỗ hổng này để xây dựng một file đính kèm có chứa mã script độc hại. . Những kẻ tấn công sau đó có thể gửi các tập tin đính kèm trong tin nhắn cho người sử dụng
Yêu cầu :
Windows NT / 2000, Microsoft Exchange 5.5 SP4
Bình luận không