Lổ hổng có thể sẽ bị khai thác để hướng người dùng ứng dụng e-mail qua Web của phần mềm Exchange - Outlook Web Access (OWA). Kẻ tấn công, với 1 tài khoản trong máy chủ Exchange của hãng, có thể tạo ra script, khi được người dùng chạy OWA trên cùng server. Do đó, script này tạo cơ hội cho hacker truy cập tới các hộp thư và khai thác thông tin.
Khiếm khuyết này cũng cho phép các chương trình nguy hiểm tải nội dung xấu, như hình ảnh và các trang web không lành mạnh, vào bộ nhớ đệm của server.
Stephen Toulouse, Giám đốc chương trình an ninh của Microsoft, cho biết sai sót Exchange 5.5 không dễ bị khai thác và tin tặc cần phải có một số điều kiện tiên quyết mới thực hiện được các thao tác tấn công. Quan chức này khẳng định: "Hacker phải có số tài khoản và được sự cho phép của người dùng thì mới truy cập được vào hệ thống".
Tuần trước, Microsoft đã xuất xưởng bộ phần mềm vá lỗi lớn nhất với nhiều tính năng mới dành cho hệ điều hành Windows. Bản nâng cấp phần mềm mới nhất Service Pack 2 cải thiện tường lửa, tích hợp thêm phần mềm hiển thị tình trạng an ninh hiện hành của máy tính và tăng cường một số tính năng an ninh PC.
Tuy nhiên, phiên bản SP2 không "dọn" những lỗi của server, như lỗ hổng Exchange mới nhất. Đặc biệt, khiếm khuyết XSS (Cross-site scripting) cho phép 1 trang web có tính bảo mật thấp bị khai thác để qua mặt website khác có tính an ninh cao hơn. Toulouse nhận định: "Lỗi XSS luôn là lỗ hổng phức tạp. Và sai sót lần này cũng thực sự làm đau đầu người dùng". Theo quan chức an ninh của Microsoft, XSS không tác động đến hầu hết phần mềm e-mail của Microsoft Exchange 2000 và Exchange 2003. Do đó, những doanh nghiệp sử dụng Exchange 5.5 không cài đặt bộ phận OWA sẽ không có nguy cơ bị "đột kích".
Bạn có thể tải bản vá lỗi Exchange 5.5 tại website này.
N.Hương (theo Cnet)