De Nederlander Martijn Brinkers heeft veiligheidslekken in Outlook Web Access van Microsoft ontdekt. Microsoft komt met een patch.
Outlook Web Access (OWA) is een webmail-applicatie die wordt gebruikt door bedrijven. Ook sommige providers maken gebruik van het systeem. Het gaat daarbij bijvoorbeeld om Het Net. Brinkers kwam de problemen met OWA op het spoor bij het testen van de beveiliging van de webmail van diverse Nederlandse internetaanbieders.
Brinkers ontdekte dat het mogelijk is om de beschermingsmaatregelen te omzeilen die Microsoft heeft genomen tegen het uitvoeren van verborgen javascript in een mailtje (bijvoorbeeld voor een cross site scripting exploit, xss).
Om zijn ontdekking aan te tonen maakte Brinkers twee voorbeeld-exploits (zogeheten proof of concepts). Met het ene voorbeeldmailtje was het mogelijk om de beschermingsmaatregelen van OWA in alle browsers te omzeilen. De andere voorbeeld-exploit werkte alleen met Firefox en Opera.
Brinkers heeft Microsoft begin november ingelicht over de problemen met OWA. Microsoft heeft de e-mailbeveiligingsexpert inmiddels laten weten dat het bedrijf een patch (reparatiesoftware) voor OWA en een security bulletin zal uitbrengen naar aanleiding van de door Brinkers gesignaleerde problemen.