MS08-039: 哪些用户容易受到OWA XSS漏洞的影响？

今天我们发布了MS08-039安全更新，修复了Microsoft Exchange的Outlook Web Access组件中的多个跨站脚本（XSS）漏洞。虽然这是一个应用于Exchange服务器的更新，但使用OWA的客户端计算机可能面临风险。我们希望进一步解释这一漏洞，以便您判断自己或组织是否面临风险。

OWA有两种模式：OWA Light（或Exchange 2003中的OWA Basic）和OWA Premium。简而言之，如果使用OWA Light/Basic模式，您就容易受到XSS漏洞的影响。您可以通过OWA登录屏幕中的“使用Outlook Web Access Light”复选框来判断是否使用了OWA Light模式。

那么，OWA的默认模式是什么？

要使用OWA Premium模式，浏览器必须支持ActiveX和受限IFRAME功能。因此，如果您使用的浏览器不支持这些功能，您将只能使用OWA Light模式。OWA登录屏幕会显示要使用的模式。在下面的截图中，不支持ActiveX和/或受限IFRAME功能的浏览器只能使用OWA Light模式——您可以看到没有取消选中“使用Outlook Web Access Light”框的选项。

如果您使用Internet Explorer并启用了ActiveX，OWA将默认使用Premium模式。实际上，在默认情况下，Internet Explorer用户将被强制使用Premium模式。然而，Exchange管理员可以选择配置其Exchange服务器，为所有用户启用OWA Light，甚至可以强制所有用户使用OWA Light模式。但是，Exchange无法配置为强制所有客户端使用OWA Premium模式。OWA Premium用户不容易受到此安全更新中解决的XSS漏洞的影响。

以下是当浏览器支持Premium模式所需功能且Exchange管理员已配置为启用OWA Light时的登录屏幕：

• 安全漏洞研究与防御博客作者
  发布内容“按原样”提供，不提供任何保证，也不授予任何权利。