|
10日,微软安全中心发布了8月漏洞安全公告:MS04-026危害等级为“中等”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS04-026
名称:Exchange Server 5.5 Outlook Web Access 中的漏洞可能允许跨站点脚本和欺骗攻击
KB编号:842463
等级:中等
安全更新替代:本公告替代
MS03-047
漏洞描述:
这是一个跨站点脚本和欺骗漏洞。此漏洞可能允许攻击者诱使用户运行恶意脚本。如果运行此恶意脚本,该脚本将在用户的安全上下文中执行。要试图利用此漏洞,需要进行用户交互。此漏洞可能允许攻击者访问
Outlook Web Access 服务器上只有个别用户才能访问的某些数据。
成功利用此漏洞的攻击者可能会更改 Web 浏览器缓存和中间代理服务器缓存,并将欺骗内容放在这些缓存中。攻击者还可能会利用此漏洞来进行跨站点脚本攻击。
Microsoft 建议用户应该考虑应用安全更新
受影响的软件:
· Microsoft Exchange Server 5.5 SP4
不受影响的软件:
· Microsoft Exchange 2000 Server
· Microsoft Exchange Server 2003
受影响的组件:
·Outlook Web Access — 下载此更新
[英文]
严重等级和漏洞标识:
减轻影响的方式:
·要试图利用此漏洞,攻击者必须能够登录到 Outlook Web Access 上。如果您不允许匿名访问 Outlook
Web Access,则只有经过验证的用户能够试图利用此漏洞。
· 以下受支持的 Outlook Web Access for Exchange 版本不受影响
· Outlook Web Access for Exchange 2000 Server
· Outlook Web Access for Exchange Server 2003
|
