Microsoft、8月の月例セキュリティ情報を公開

Microsoft (NASDAQ:MSFT) は10日、8月の月例セキュリティ情報を公開した。『Exchange Server 5.5』の『Outlook Web Access (OWA)』の脆弱性により、同製品を実行するサーバーがクロスサイト スクリプティングや詐称 (スプーフィング) による攻撃を受ける可能性があるというもので、脆弱性を修正する更新プログラムをリリースしている。

同脆弱性については、セキュリティ情報「MS04-026」を公開し、深刻度を「警告」レベル (4段階で下から2番目) としている。また、以前に「重要」 (上から2番目) レベルとして公開済みのセキュリティ情報「MS04-020」を更新し、新たに『Microsoft INTERIX 2.2』ユーザーへの影響を追加した。

Exchange Server 5.5 の脆弱性は、Web アプリケーションのセキュリティ監視企業 Sanctum が報告したもので、攻撃者がユーザーに悪意あるスクリプトを実行させる危険があるという。

「攻撃者がこの脆弱性を悪用して、Web ブラウザのキャッシュと中間プロキシサーバーのキャッシュを操作し、それらのキャッシュにレスポンスを詐称するコンテンツを入れる可能性がある。また同脆弱性を使って、クロスサイト スクリプティング攻撃を行なう可能性もある」と同社は説明している。

この脆弱性の影響を受けるのは、Microsoft Exchange Server 5.5 Service Pack 4 および OWA コンポーネントのみだ。