私人邮箱遭受威胁? 微软修正Exchange漏洞

中华网科技 http://tech.china.com 2004-08-11 11:06:10  刘彦青

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　【赛迪网讯】微软公司于当地时间本周二发布了一款Exchange 5.5电子邮件和协作服务器软件的补丁软件，修正了一个危险程度被评定为“中等”的缺陷。
　　
　　微软公司表示，周二发布的补丁软件修正的缺陷可以被用于攻击使用名为“Outlook Web Access”的Web电子邮件组件的用户。在企业Exchange服务器上开有账户的黑客能够创建一段脚本代码，当同一服务器上的OWA用户运行该脚本代码时，黑客就能够访问用户的电子邮箱和资料。
　　
　　该缺陷还能够使恶意的编程人员在服务器的Web内容缓冲区中放置虚假的图片和Web网页等欺骗性的内容。
　　
　　微软公司的安全计划经理斯蒂芬说，要利用这一缺陷并非易事，必须同时具备几个前提才能够成功发动攻击。他说，黑客必须要有合法的账户，用户的账户必须设置为允许访问。
　　
　　Exchange 5.5中的这一缺陷属于跨站点脚本缺陷，它能够使一个安全措施较为宽松的站点被用来绕过其它站点严格的安全措施。斯蒂芬表示，跨站点脚本缺陷通常都复杂得多，Exchange 5.5中的这一缺陷真的非常复杂。
　　
　　斯蒂芬表示，该缺陷不影响微软公司最新版的电子邮件软件——Exchange 2000和Exchange 2003，对于使用没有安装OWA组件的Exchange 5.5的企业而言，这一缺陷也构不成什么危险。