logo

マイクロソフト、Exchange 5.5の脆弱性を修正

Robert Lemos(CNET News.com)2004年08月11日 19時04分
  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間10日、同社の電子メール/コラボレーションサーバソフト「Exchange 5.5」向けにパッチを公開した。このパッチを適用することで、同社の4段階のセキュリティレベルで下から2番目の「中」と評価された欠陥が解決される。

 Microsoftによると、同日の勧告で明らかにされた脆弱性は、Exchangeの「Outlook Web Access(OWA)」と呼ばれるウェブメール用コンポーネントを利用するユーザーを狙った攻撃に悪用される恐れがあるという。たとえばこの脆弱性を悪用すると、Exchangeサーバにアカウントをもつ攻撃者が、スクリプトを作成し、同じサーバを利用する他のOWAユーザーにこれを実行させることで、その電子メールボックスや情報へアクセスできるようになってしまう。

 また、この欠陥によって、悪意のあるプログラマが、偽のグラフィクスやウェブページのような偽のコンテンツを、サーバのキャッシュに置くことも可能になる。

 この脆弱性はそう簡単に悪用できるものではない、とMicrosoftセキュリティプログラム管理者のStephen Toulouseは述べ、攻撃を可能にするには、いくつかの前提条件が必要だと説明した。

 「まず、攻撃者はアカウントを持たなければならず、次にユーザーがアクセスを認めなければならない」(Toulouse)

 先週、Microsoftは各メーカーに対し、Windows XP Service Pack 2(SP 2)を出荷したが、このアップデートでは、上記のExchangeの欠陥のような、サーバ関連のセキュリティ問題には対応していない。この問題は、いわゆるクロスサイト・スクリプティングの脆弱性に分類されるものだが、この脆弱性を悪用すると、あるサイトのセキュリティを迂回するために、セキュリティの甘いウェブサイトを利用することが可能になる。

 なお、この脆弱性はExchange 2000およびExchange 2003には影響せず、Exchange 5.5を使用している企業がOWAコンポーネントをインストールしていなければ問題ない、とToulouseはコメントしている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集