マイクロソフト社は、OWAバグに対するパッチを再リリース

国際海外情報

2001.12.12 Wed 12:00

概要：
　マイクロソフト社は、Exchange Server 5.5のOutlook Web Access (OWA)に存在するバグのパッチを再リリースした。元のパッチでは、サーバーにInternet Explorer (IE) 5.0以降のバージョンがインストールされていなければならなかった。(ID#106456、2001年12月7日)。

　このパッチは、IE 5.5 Service Pack 2以降がインストールされているOWAサーバーにインストールする必要がある。OWAサーバーとは、OWAサービスがインストールされているInternet Information Servicesサーバーを意味する。OWAサーバー上でExchangeが実行されているかどうかは、具体的な設定による。

　攻撃者はメールの本文にHTMLスクリプトを埋め込むことによってこのバグを利用でき、そのメッセージがIEで読まれた際に正当なユーザーの特権を行使できるようになる。OWAは最初にExchange Server 5.0にバンドルされて出荷されたものだが、ユーザーがウェブブラウザーを使ってインターネット経由でメールボックスをアクセスできるようにするアプリケーションである。このバグは、OWAのコンテンツフィルター機能がスクリプトを検出できない場合があることに起因している。

　Mitre社のCommon Vulnerabilities and Exposures (CVE) Editorial Boardは、この問題にCAN-2001-0726という識別番号を与えた。詳細情報は

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0726

を参照。

情報ソース：
Microsoft Corp. (Security Bulletin MS01-057 (Version 2) ) Dec.07, 2001
http://www.microsoft.com/technet/security/bulletin/MS01-057.asp

分析：
　(iDEFENSE米国) このバグを利用することにより、攻撃者は受信者のExchangeのメールボックスをそのユーザーと同じ特権で使用できるようになる(フォルダーやメッセージの変更、メールの送信など)。

検知方法：
　Exchange 5.5のOWAサービスが影響を受ける。

暫定処置：
　IEのバージョン条件を満たさないOWAサーバーにパッチがインストールされている場合は、IE 5.5 SP 2にアップグレードし、セキュリティホットフィックスサポートを受けられるようにする。

ベンダー情報：
　パッチは下記で入手可能：

http://download.microsoft.com/download/exch55/Patch/05.05.77.2655/NT45/EN-US/Q313576engi386.EXE

また、詳細情報は、

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313576

を参照。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:14 GMT、12、10、2001】