Redmond (USA) – Una vulnerabilità scoperta dalla firma di sicurezza israeliana SecuriTeam, consentirebbe ad un cracker di ottenere preziose informazioni e liste di e-mail attraverso il server di posta Microsoft Exchange Server 5.5.
Il bug, che non affliggerebbe altre versioni del prodotto, si presenta solo in congiunzione con l’attivazione della funzionalità Outlook Web Access (OWA), uno strumento che permette agli utenti di leggere le proprie e-mail attraverso un browser Web.
La falla potrebbe essere sfruttata per ottenere un elenco delle e-mail ospitate sul server, che rischierebbero così di finire nella collezione di qualche spammer, e per conoscere alcuni dettagli sulla rete tali da comprometterne la sicurezza.
L’attacco ad un sistema vulnerabile può essere fatto inviando al server una particolare richiesta HTTP che mette in grado un cracker di ottenere l’accesso alla lista globale degli indirizzi di Exchange, accesso normalmente consentito soltanto agli utenti autorizzati.
Microsoft, che ha precisato come Exchange 2000 non soffra di tale bug, ha già messo a disposizione una patch scaricabile qui .