Kritikus szinten az Outlook sérülékenysége

Mi is hírt adtunk arról, hogy a Microsoft három biztonsági közleményt adott ki március 9-én. Akkor a Messenger sérülékenyégét emeltük ki, azóta azonban kiderült, hogy az Outlook 2002 sérülékenyégét alábecsülték.

Március 10-én hajnalban kaptuk meg a US-CERT figyelmeztetését, amely csak a legsúlyosabb veszélyeztetettségek esetén jelenik meg.  Ebből megtudhatjuk, hogy a hibát az okozza, hogy bizonyos URL-formátumok lehetővé teszik végrehajtható kódok feltöltését az áldozat gépére. A hiba a mailto: hivatkozások kezelésében van, ha ezt a "megfelelő" formátumban kapja meg az Outlook, akkor a sérülékenység kihasználhatóvá válik. Ez akár egy HMTL formátumú e-mail üzeneten keresztül is megtörténhet.

A Microsoft azt javasolja, hogy:

• telepítsük fel a Microsoft Office Service Pack 3-at (angol nyelven letölthető itt), vagy
• állítsuk be azt, hogy a leveleket egyszerű szöveges formátumban olvassuk (részletek itt), vagy
• ne használjuk az Outlook Ma mappát mint alapértelmezett honlapot a programban.

Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)