Redmond (USA) – Outlook è ancora vittima di una falla di sicurezza, anche se stavolta non si tratta del programma client ma del modulo che in Exchange 5.5 consente agli utenti di Outlook di accedere alle mailbox attraverso il Web.
Il problema risiede nel modo in cui Outlook Web Access (OWA) gestisce gli script all’interno delle e-mail in formato HTML. In un bollettino di sicurezza, Microsoft ha spiegato che un assalitore può ottenere il pieno controllo di una mailbox quando una e-mail contenente codice aggressivo viene aperta utilizzando Internet Explorer e il modulo OWA.
Secondo Microsoft, un assalitore potrebbe sfruttare tale vulnerabilità per spedire, muovere o cancellare messaggi che risiedono su di un Exchange Server, mentre non avrebbe il potere di accedere alle e-mail archiviate in locale o alla rubrica di un utente.
Microsoft sostiene che Exchange 2000 è immune al problema, mentre nulla si sa riguardo alle versioni precedenti alla 5.5, non più supportate dal big di Redmond.
La patch che corregge il problema è disponibile qui .
Lo scorso giugno, con un imbarazzante “balletto” di patch , Microsoft pose fine ad un problema di sicurezza in OWA molto simile a quello attuale.