Nederlander ontdekt lek in Outlook Web Access
Gepubliceerd: Maandag 4 december 2006
Auteur: Wilbert de Vries en Maarten Reijnders
De Nederlander Martijn Brinkers heeft veiligheidslekken in Outlook Web Access van Microsoft ontdekt. Microsoft komt met een patch.
Outlook Web Access (OWA) is een webmailapplicatie die veelal wordt gebruikt door bedrijven om werknemers via internet toegang te geven tot hun inbox.
Brinkers kwam de problemen met OWA op het spoor bij een onderzoek voor Webwereld naar de webmailbeveiliging van diverse Nederlandse internetaanbieders.
Brinkers ontdekte dat het mogelijk is om de beschermingsmaatregelen te omzeilen die Microsoft heeft ingebouwd tegen het uitvoeren van verborgen Javascript in een mailtje (bijvoorbeeld voor een cross site scripting exploit, xss).
Om zijn ontdekking aan te tonen maakte Brinkers twee proof of concepts. Met het ene voorbeeldmailtje was het mogelijk om de beschermingsmaatregelen van OWA in alle browsers te omzeilen. De andere voorbeeldexploit werkte alleen met Firefox en Opera.
Brinkers heeft Microsoft begin november ingelicht over de problemen met OWA. Microsoft heeft de e-mailbeveiligingsexpert inmiddels laten weten dat het bedrijf een patch voor OWA en een security bulletin zal uitbrengen naar aanleiding van de door Brinkers gesignaleerde problemen.
Bron: Techworld
