ZDNet China 11月25日报道：微软发表Office System2003才一个月，却已经开始调查ExchangeServer 2003当中一个可能的重大漏洞。

　　这个程序bug，影响Exchange当中的OutlookWebAccess（OWA）组件，OWA提供使用者以网页方式读取邮件及档案夹。

　　一家财务工具厂商的网络管理员MatthewJohnson表示，使用者通过网页登录邮件帐户之后，有时发现他们有权进入其它人的信箱。Johnson是本月初在NTBugtraq的信息安全邮件群组当中，提到这个问题。

　　Johnson写到，“这似乎是一个重大的安全漏洞，因为这个问题，我们也关闭OWA。”

　　微软表示，现在正在调查这个问题。目前看起来，这个问题只会在未激活Kerberos认证的状况下出现。Kerberos是由MIT所开发的一项认证技术，微软使用Kerberos作为服务请求时的认证之用。微软建议使用者保持Kerberos初始设定为激活状况，在调查完成之后，就会发表修补程序以及相关信息。

　　不过Johnson表示，微软的初步调查并不正确，因为Johnson的公司并未更动ExchangeServer的初始设定，Kerberos应该还是激活的状况。Johnson在两个月前通知微软这个问题，Johnson指出，微软正在进行修补程序的测试。

　　微软并未对进一步作出响应。

　　旧版的OWA也曾有过安全问题。微软在2001年时发表Exchange5.5和Exchange2000的OWA修补程序，不过该修补程序反而会造成服务器的超载，接下来第二个修补程序，也一样有严重的问题。

　　一周半之前，哈佛大学的三年级学生暨顾问公司ThinkComputer的负责人AaronGreenspan在一份白皮书当中指出，Exchange5.5和2000存有漏洞，可能被垃圾邮件厂商用来寄发垃圾邮件。（黄晨哲）