Outlook Web Access (OWA) is een dienst van Exchange 5.5 server die het mogelijk maakt dat gebruikers van deze server hun e-mail overal ter wereld in een browser kunnen lezen. Een veiligheidsprobleem in de software kan er voor zorgen dat misbruik gemaakt wordt van een account. Het probleem doet zich voor bij de manier waarop OWA omgaat met scripts in e-mailberichten in combinatie met Internet Explorer. Als een HTML-bericht met een script naar de ontvanger wordt gestuurd, is het mogelijk dat het script uitgevoerd wordt als deze het bericht opent. Als dit gebeurt, kan de aanvaller de controle over de e-mailbox overnemen. Hij kan berichten verplaatsen en verwijderen en berichten namens de bezitter van de mailbox versturen. De aanvaller is niet in staat om berichten te sturen naar de e-mailcontacten in het adresboek van de gebruiker. Het gevaar dat dit veiligheidsprobleem gebruikt kan worden om massamailings te versturen, is daarmee geweken.

Gevaar niet groot

De aanvaller moet volgens Microsoft precies weten wanneer de gebruiker zijn berichten leest in de browser. Het script kan namelijk niet uitgevoerd worden als het besmette mailtje geopend wordt in Outlook of Outlook Express. Daarbij komt dat de aanvaller precies moet weten welke versie van OWA gebruikt wordt. Weet hij dat niet dan mislukt de aanval eveneens. Tot slot is het alleen mogelijk een aanval uit te voeren op de mailbox op de Exchange Server zelf. De afzonderlijke systemen van gebruikers lopen dus geen gevaar. Al met al is het gevaar volgens Microsoft niet zo heel erg groot, maar het adviseert de gebruiker toch zeker aandacht aan het probleem te besteden en een patch te installeren.