发布日期：2004-08-10
更新日期：2004-08-13

受影响系统：

Microsoft Exchange Server 5.5SP4

描述：

---

BUGTRAQ  ID: 10902
CVE(CAN) ID: CVE-2004-0203

Microsoft Exchange Server是一款企业级的邮件服务程序。

Microsoft Outlook Web访问存在输入验证错误，远程攻击者可以利用这个漏洞进行跨站脚本攻击，可获得敏感信息。

Microsoft报告Outlook Web访问在显示输入前不正确验证用户提供的给HTML重定向查询的数据，可造成恶意脚本执行。

远程用户可以构建特殊的URL，然后当目标用户装载的时候，会在用户浏览器上执行任意脚本代码。此代码以Outlook Web Access软件上下文执行。结果可导致目标用户的COOKIE信息泄露。

<*来源：Microsoft Security Team （secure@microsoft.com）
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS04-026.mspx
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS04-026）以及相应补丁:
MS04-026：Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow Cross-Site Scripting and Spoofing Attacks (842436)
链接：http://www.microsoft.com/technet/security/bulletin/MS04-026.mspx

补丁下载：

http://www.microsoft.com/downloads/details.aspx?FamilyId=66E4E033-5A4C-4EEC-84F1-31F0CA878092&displaylang=en

此补丁在Windows 2000 SP3平台上需要安装Internet Explorer 5.01 Service Pack 3 (SP3)，在Windows 2000 SP4平台上许安装Internet Explorer 5.01 SP4。和安装了Internet Explorer 6 SP1的系统。

浏览次数：2996
严重程度：0（网友投票）