حفره Exchange پوشانده مي شود

 10 آگوست 2004 – 20 مرداد 1383

مايكروسافت امروز اصلاحيه اي براي Exchange 5.5 و سرور مربوطه منتشر كرد كه يك مشكل امنيتي با درجه خطر moderate يا 2 از 4 را مي پوشاند.

بنا به گفته مايكروسافت،‌ وجود يك مشكل امنيتي باعث شده است تا كاربراني كه از Outlook Web Access استفاده مي كنند، در معرض حمله هكرها قرار گيرند. يك هكر مي تواند با استفاده از يك اكانت روي سرور Exchange يك شركت ، اسكريپتي را ايجاد كند كه هرگاه توسط يك كاربر Outlook Web Access روي همان سرور اجرا شود ، ‌امكان دسترسي به ايميلها و اطلاعات كاربر براي هكر ميسر شود. همچنين اين مشكل امنيتي به يك برنامه نويس اجازه مي دهد تا در كش سرور اطلاعات ، تصاوير و صفحات وب قلابي قرار دهد.

مايكروسافت مدعي است كه اين حفره به راحتي قابل استفاده نيست چون هكر بايد روي آن سرور اكانت داشته باشد و كاربر نيز اجازه دسترسي بدهد.

هفته گذشته مايكروسافت بزرگترين مجموعه اصلاحيه ها و امكانات جديد خود را براي سيستم عامل ويندوز در اختيار توليدكنندگان قرار داد. اين نسخه به روز رساني كه همان Service Pack 2 مشور است ، فايروال را بهبود مي بخشد ، يك اپلت نرم افزاري اضافه مي كند كه وضعيت امنيت فعلي يك كامپيوتر را نمايش مي دهد و ساير جوانب امنيتي آن را تقويت مي كند.

SP2 به مشكلات سرورها مثل حفره اخير Exchange كاري ندارد. اين مشكل  در گروه حفره هاي cross-site scripting مي گنجد يعني حفره هايي كه با عث مي شوند تا به كمك يك سايت با مدل امنيتي ضعيف تر از يك سايت با مدل امنيتي قويتر عبور كرد. معمولا اين گروه از حفره ها عملكرد پيچيده اي دارند.

بنابه گفته مايكروسافت اين حفره نسخ اخير يعني Exchange 2000 و Exchange 2003 را تحت تاثير قرار نمي دهد و درصورتي كه شركت از قابليت Outlook Web Access استفاده نكند، حتي نسخه 5.5 نيز خطرناك نيست. اصلاحيه مربوطه از سايت مايكروسافت قابل دريافت است.