OWA הוא שירות של Exchange Server 2000 ושל 5.5 המאפשר למשתמשים להשתמש בדפדפן אינטרנט כדי לגשת לתיבת הדואר של Exchange שלהם. עם זאת, קיים ליקוי באינטראקציה בין OWA וIE לקבצים מצורפים להודעות. אם קובץ מצורף מכיל קוד HTML כולל תסריט, התסריט יבוצע כאשר את הקובץ המצורף נפתח, ללא קשר לסוג הקובץ המצורף. בגלל OWA דורש הפקודות שיש להפעיל באזור שבו שרת OWA ממוקם, התסריט הזה יכול לפעול נגד תיבת הדואר של Exchange של המשתמש. תוקף יכול להשתמש בפגם זה כדי לבנות קובץ מצורף מכיל קוד זדוני תסריט. . לאחר מכן, התוקף יכול לשלוח את הקובץ המצורף בהודעה למשתמש
דרישות :
Windows NT / 2000, Microsoft Exchange 5.5 SP4
תגובות לא נמצא