Het softwarebedrijf waarschuwt gebruikers van Outlook Web Access dat een veiligheidsprobleem er voor kan zorgen dat een aanvaller ongeautoriseerde toegang tot iemands e-mailbox kan krijgen. Outlook Web Access is onderdeel van Exchange 2000. De Web Access-toepassing wordt standaard geactiveerd als Exchange 2000 geïnstalleerd wordt. Microsoft adviseert systeembeheerders de patch meteen te installeren. Het veiligheidsprobleem doet zich voor tijdens het uitwisselen van gegevens tussen de Web Access applicatie en de Internet Explorer. Door in een e-mail-attachment een bepaalde aangepaste code te plaatsen kan de aanvaller toegang krijgen tot de mailbox van een gebruiker. Het attachment ziet er uit als een gewoon tekstbestand, maar bevat HTML-code en scripts, die geactiveerd worden als de ontvanger het bijvoegsel opent. Door het veiligheidsprobleem wordt de scriptcode in het attachment van een e-mailbericht uitgevoerd op de server waarop Outlook Web Access draait in plaats van in de browser van de gebruiker. De aanvaller heeft vervolgens de mogelijkheid om berichten en mappen te verwijderen, zo zegt Microsoft in een verklaring. Normaalgesproken waarschuwt Windows de gebruiker van te voren als een script uitgevoerd wordt. In het geval van Outlook Web Access is dat niet het geval. Na het uitvoeren van de patch wordt de ontvanger nu wel gewaarschuwd voordat het script uitgevoerd wordt. De patch is verkrijgbaar via de TechNet site van Microsoft.