Microsoft выпущен патч для пакета Exchange 5.5, защищающий пользователей Outlook Web Access (OWA). Уязвимость, обнаруженная в Exchange 5.5, оценена Microsoft как «представляющая умеренную опасность» (moderate). Суть её заключается в том, что злоумышленник, имеющий законную учетную запись на корпоративном Exchange-сервере, может разместить на сервере код, дающий ему доступ к любому почтовому ящику, размещенному на этой же машине. Также уязвимость позволяет недоросовестным сотрудникам подделывать содержимое веб-кэша этого сервера, произвольно изменяя информацию, содержащуюся в кэшированных файлах. Эксперты компании не считают эту брешь в защите сколько-нибудь серьезной, поскольку эксплуатация этой ошибки требует выполнения ряда важных предварительных условий: у хакера должен быть легальный аккаунт, а жертва должна предоставить ему права для доступа к своему ящику. Уязвимость, как пишет CNET, не распространяется на более современные почтовые сервера компании: Exchange 2000 и 2003, а также на Exchange 5.5, если на них не установлено приложение Outlook Web Access. Заплатку и более подробное описание проблемы можно найти на сайте Microsoft.
Подробности и патч