حفره Exchange پوشانده می شود

 10 آگوست 2004 – 20 مرداد 1383

مایکروسافت امروز اصلاحیه ای برای Exchange 5.5 و سرور مربوطه منتشر کرد که یک مشکل امنیتی با درجه خطر moderate یا 2 از 4 را می پوشاند.

بنا به گفته مایکروسافت،‌ وجود یک مشکل امنیتی باعث شده است تا کاربرانی که از Outlook Web Access استفاده می کنند، در معرض حمله هکرها قرار گیرند. یک هکر می تواند با استفاده از یک اکانت روی سرور Exchange یک شرکت ، اسکریپتی را ایجاد کند که هرگاه توسط یک کاربر Outlook Web Access روی همان سرور اجرا شود ، ‌امکان دسترسی به ایمیلها و اطلاعات کاربر برای هکر میسر شود. همچنین این مشکل امنیتی به یک برنامه نویس اجازه می دهد تا در کش سرور اطلاعات ، تصاویر و صفحات وب قلابی قرار دهد.

مایکروسافت مدعی است که این حفره به راحتی قابل استفاده نیست چون هکر باید روی آن سرور اکانت داشته باشد و کاربر نیز اجازه دسترسی بدهد.

هفته گذشته مایکروسافت بزرگترین مجموعه اصلاحیه ها و امکانات جدید خود را برای سیستم عامل ویندوز در اختیار تولیدکنندگان قرار داد. این نسخه به روز رسانی که همان Service Pack 2 مشور است ، فایروال را بهبود می بخشد ، یک اپلت نرم افزاری اضافه می کند که وضعیت امنیت فعلی یک کامپیوتر را نمایش می دهد و سایر جوانب امنیتی آن را تقویت می کند.

SP2 به مشکلات سرورها مثل حفره اخیر Exchange کاری ندارد. این مشکل  در گروه حفره های cross-site scripting می گنجد یعنی حفره هایی که با عث می شوند تا به کمک یک سایت با مدل امنیتی ضعیف تر از یک سایت با مدل امنیتی قویتر عبور کرد. معمولا این گروه از حفره ها عملکرد پیچیده ای دارند.

بنابه گفته مایکروسافت این حفره نسخ اخیر یعنی Exchange 2000 و Exchange 2003 را تحت تاثیر قرار نمی دهد و درصورتی که شرکت از قابلیت Outlook Web Access استفاده نکند، حتی نسخه 5.5 نیز خطرناک نیست. اصلاحیه مربوطه از سایت مایکروسافت قابل دریافت است.