Microsoft a émis une alerte concernant une vulnérabilité dans Outlook Web Access (OWA) d’Exchange, qui peut être exploitée par l’envoi d’un email spécialement conçu à un utilisateur. Si cet email est ouvert dans Outlook Web Access et que certaines conditions sont remplies, il permet l’exécution arbitraire de JavaScript dans le navigateur. Cette vulnérabilité met en lumière les risques associés aux serveurs Exchange sur site, de plus en plus considérés comme obsolètes. Les organisations sont encouragées à réduire leur exposition aux menaces externes en envisageant des fournisseurs de services de messagerie basés sur le cloud et dignes de confiance. Résoudre les problèmes de script intersite dans les systèmes de messagerie web comme OWA est complexe, car ils doivent gérer les emails HTML sans confusion. Des techniques telles que les iFrames en mode sandbox peuvent atténuer les risques, mais nécessitent une mise en œuvre minutieuse. Ces failles peuvent potentiellement permettre la lecture ou l’envoi non autorisé d’emails.
Un email malveillant peut-il déclencher une vulnérabilité zero-day dans Exchange Server ?
