XGEN: 不正確處理 Exchange Server 5.5 Outlook Web Access 中的附件可以執行指令碼

文章翻譯 文章翻譯
文章編號: 301361 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
如其他有關類似的問題,可能會發生在 Exchange 2000 Server 中,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
299535XGEN: 不正確處理在 Exchange 2000 Outlook Web Access 中的附件可以執行指令碼
全部展開 | 全部摺疊

徵狀

Microsoft Outlook Web Access (OWA) 是 Exchange Server 5.5 及使用者可以使用來使用 Web 瀏覽器存取 Exchange 信箱的 Exchange 2000 伺服器的服務。不過,OWA 和 Microsoft Internet Explorer 之間互動,為訊息附件中存在的弱點。如果附件中包含 「 超文字標記語言 (HTML) 程式碼,其中包含指令碼在使用者開啟該附件不論附件類型時執行指令碼。因為 OWA 需要 OWA 伺服器所在的區域中啟用指令碼,這段指令碼可以對使用者的 Exchange 信箱採取的動作。

攻擊者可能會使用這項弱點來建構包含惡意的程式碼的附件。在攻擊者可以再附件訊息中傳送給使用者。如果使用者開啟該附件 OWA 指令碼執行中,並當成指令碼是在某些情況下包括操作郵件或資料夾的使用者,可以採取的動作對使用者 ’s 信箱。

下列緩和因素:
  • 如果使用者配合 Internet Explorer 使用 OWA,只才能利用這項弱點。
  • 藉由使用 OWA 中接收到的附件可以只有被利用此弱點。在一般攻擊者沒有方法可以判斷使用者是否會藉由使用 OWA,而不是 Microsoft Outlook 開啟附件。
  • 利用此弱點的攻擊者的能力需要攻擊者引誘使用者從受信任的來源開啟附件。最佳的作法是不要從未知或不受信任的來源開啟任何附件。

解決方案

修正程式現在可以從 Microsoft,但它只用來修正本文所述的問題。因此只提供給您判斷風險的攻擊的電腦。請評估電腦的實體存取設定、 網路及網際網路連線能力以及其他因素,以判斷您的電腦的風險程度。請參閱相關的 Microsoft Security Bulletin,以協助您判斷風險程度。此修正程式可能會接受其他測試。如果您的電腦是夠風險,Microsoft 建議您立即套用此修正程式。否則,等待下一個的 Microsoft Exchange Server 5.5 Service Pack 包含此修正程式。

若要立即解決這個問題,以下載修正程式,請遵循本文中的指示,或洽詢 Microsoft 技術支援部以取得此修正程式。如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意: 在特殊情況中通常會因支援電話所產生的費用如果,可能就不收取 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。

從 「 Microsoft 下載中心 」 下載下列檔案有:
摺疊此圖像展開此圖像
Download
Download Q301361i386.exe now
發行日期: 2001 2001年 6 月 8日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。

此修正程式的英文版應該具有下列檔案屬性或更新版本:

元件: OWA

摺疊此表格展開此表格
檔案名稱版本
Read.asp

注意
  • 由於檔案相依性的此修正程式需要 Microsoft Exchange Server 5.5 版服務套件 4。
  • 您需要在執行 OWA 元件的所有伺服器都套用此修正程式。Exchange Server 5.5 與您可以在不同的 Exchange 伺服器的電腦上安裝 OWA 元件。如果您分別安裝 OWA 您需要在個別電腦上執行此補充程式。
  • 有時候之後套用此修正程式,使用者可能空白視窗在開啟時,就會收到他們使用 OWA 的郵件。如果發生這種情形請檢閱下列 「 知識庫 」 文件
    314532XWEB: 疑難排解 Outlook Web 中的空白郵件內文

狀況說明

Microsoft 已確認此問題可能會一定程度的安全性弱點造成 Microsoft Exchange Server 5.5 版中。

其他相關資訊

如需有關這個安全性弱點的詳細資訊,請參閱下列 Microsoft 網站]:
http://www.microsoft.com/technet/security/bulletin/MS01-030.mspx

屬性

文章編號: 301361 - 上次校閱: 2013年10月24日 - 版次: 5.2
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
關鍵字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:301361
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com