微软新产品漏洞(OWA)

    微软公司于今日公布了一项最新产品漏洞——Microsoft Exchange Outlook Web Access (OWA) Script Injection漏洞。同时公布的还有主要针对企业用户的补丁信 息。Microsoft Outlook Web Access (OWA)是一项软件服务，支持管理员在Internet上 使用Web浏览器连接到Exchange邮箱发送/接收邮件、管理日历或者执行其它邮件功能。 这项漏洞的风险级别被定义为：中级。
    如未执行补丁升级，黑客恶意脚本就能够访问 OWA服务器上的内容以及站点上的Web页面。一旦黑客成功利用此漏洞，就可以进行会话 劫持和内容欺骗等多种攻击行为。然而，只有攻击者获得认证权限，或者存在漏洞的服 务器允许匿名登录，才会实现攻击。服务器本身则不会被这种方式攻击。
    “漏洞从被发现到被利用之间的时间越来越短，主动进行漏洞管理以防范未知威胁对网 络的攻击变得更加重要了，”赛门铁克安全响应中心高级主管Alfred Huger表示。“IT 管理员应当及时评估新发现的漏洞对系统可能形成的影响，并制订必要的应对方案，包 括补丁的安装、通过有效地使用多种安全解决方案来实施最佳安全实践以及在网络防护 中主动采取安全措施等。”
建议：用户应该考虑应用安全更新。
安全更新替代：此更新替代 Microsoft 安全公告 MS03-047 中提供的安全更新。
注意事项：如果用户自定义了本文“文件信息”部分中列出的任何 Active Server Pages (ASP) 页，则在应用此更新之前应该备份这些文件，因为在应用更新时将覆盖这些 ASP。然后，需要为新的 ASP 页重新应用所有的自定义。
此更新的相关组件的版本要求： 为成功地进行安装，此更新要求 Microsoft Outlook Web Access 服务器安装以下组件：Internet Explorer 5.01 Service Pack 3 (SP3)（在使用 Windows 2000 SP3 时）、Internet Explorer 5.01 SP4（在使用 Windows 2000 SP4 时）或 Internet Explorer 6 SP1（在使用其他受支持的操作系统时）。
Outlook Web Access 服务器上相关组件的版本建议： 在撰写本文时，我们建议 Outlook Web Access 服务器上的相关组件使用以下版本：
Microsoft Internet 信息服务 (IIS)：