Mit dem Security Bulletin für den August beseitigt Microsoft eine Sicherheitslücke im E-Mail-Server Exchange 5.5. Durch einen Fehler in der Komponente "Web Access" können Angreifer unter bestimmten Voraussetzungen eingeschleuste Scripts zur Ausführung bringen und Daten im Zwischenspeicher des Proxy-Servers und im Web-Broser-Cache ablegen.

Durch dieses "Spoofing" können Angreifer im Extremfall auf beliebige Daten auf dem Outlook-Web-Access-Server zugreifen, der dem jeweiligen Benutzer zugänglich ist. Nicht gefährdet sind laut Microsoft Anwender, die über eine SSL-Verbindung (Secure Sockets Layer) auf Outlook Web Access zugreifen. Der Hersteller empfiehlt, den mit dem Bulletin MS04-026 veröffentlichten Patch einzuspielen. Er ersetzt das im Oktober 2003 mit dem Bulletin MS03-047 ausgelieferte Sicherheitsupdate.

Ebenfalls in einer neueren Fassung wurde das im Juli erschienene Bulletin "MS04-020" veröffentlicht. Die seinerzeit bekannt gewordene Lücke in Microsofts POSIX-Implementierung betrifft nämlich mit "INTERIX 2.2" noch ein weiteres Microsoft-Produkt. Auch hier ist bereits ein Patch erhältlich. (tc/lex)