Microsoft warnt davor, dass ein Fehler im Modul "Outlook Web Access" (OWA) von Hackern genutzt werden lann, um die elektronischen Postfächer von Anwendern zu manipulieren. Der Web-basierte Zugriff ermöglicht das Abrufen und Versenden von E-Mails über den Exchange-Server, ohne dass dazu der Outlook-Client benutzt werden muss.
Nach Angaben von Microsoft taucht der Fehler beim Zusammenspiel zwischen der Browsersoftware "Internet Explorer", OWA und Exchange 2000 auf. An eingehende E-Mails angehängte Dateien, die HTML- und Skriptcode enthalten, werden demnach sofort ausgeführt, wenn der Empfänger das Attachment anklickt.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Attachment mit darin verborgenem, bösartigem Code an einen Anwender schickt. Öffnet dieser das Attachment von seinem Internet Explorer aus, kann der darin enthaltene Code Manipulationen an der Mailbox des Users vornehmen, die bis hin zum Löschen von Dokumenten oder Verzeichnissen reichen. Nach Angaben von Microsoft tritt der Fehler beim Einsatz von OWA in Verbindung mit anderen Browsern nicht auf. Der Hersteller stellte auf seinen Seiten einen Patch bereit, der das Problem beheben sollte. Bei einigen Anwendern hatte das Einspielen des Fixes jedoch zur Folge, dass das Mail-Gateway danach seinen Dienst versagt. Microsoft zog den Patch daraufhin zurück, um ihn nochmal zu überarbeiten.