マイクロソフト、Exchange 5.5の脆弱性を修正

　Microsoftは米国時間10日、同社の電子メール／コラボレーションサーバソフト「Exchange 5.5」向けにパッチを公開した。このパッチを適用することで、同社の4段階のセキュリティレベルで下から2番目の「中」と評価された欠陥が解決される。

　Microsoftによると、同日の勧告で明らかにされた脆弱性は、Exchangeの「Outlook Web Access（OWA）」と呼ばれるウェブメール用コンポーネントを利用するユーザーを狙った攻撃に悪用される恐れがあるという。たとえばこの脆弱性を悪用すると、Exchangeサーバにアカウントをもつ攻撃者が、スクリプトを作成し、同じサーバを利用する他のOWAユーザーにこれを実行させることで、その電子メールボックスや情報へアクセスできるようになってしまう。

　また、この欠陥によって、悪意のあるプログラマが、偽のグラフィクスやウェブページのような偽のコンテンツを、サーバのキャッシュに置くことも可能になる。

　この脆弱性はそう簡単に悪用できるものではない、とMicrosoftセキュリティプログラム管理者のStephen Toulouseは述べ、攻撃を可能にするには、いくつかの前提条件が必要だと説明した。

　「まず、攻撃者はアカウントを持たなければならず、次にユーザーがアクセスを認めなければならない」（Toulouse）

　先週、Microsoftは各メーカーに対し、Windows XP Service Pack 2(SP 2)を出荷したが、このアップデートでは、上記のExchangeの欠陥のような、サーバ関連のセキュリティ問題には対応していない。この問題は、いわゆるクロスサイト・スクリプティングの脆弱性に分類されるものだが、この脆弱性を悪用すると、あるサイトのセキュリティを迂回するために、セキュリティの甘いウェブサイトを利用することが可能になる。

　なお、この脆弱性はExchange 2000およびExchange 2003には影響せず、Exchange 5.5を使用している企業がOWAコンポーネントをインストールしていなければ問題ない、とToulouseはコメントしている。