Mi is hírt adtunk arról, hogy a Microsoft három biztonsági közleményt adott ki március 9-én. Akkor a Messenger sérülékenyégét emeltük ki, azóta azonban kiderült, hogy az Outlook 2002 sérülékenyégét alábecsülték.
Március 10-én hajnalban kaptuk meg a US-CERT figyelmeztetését, amely csak a legsúlyosabb veszélyeztetettségek esetén jelenik meg. Ebből megtudhatjuk, hogy a hibát az okozza, hogy bizonyos URL-formátumok lehetővé teszik végrehajtható kódok feltöltését az áldozat gépére. A hiba a mailto: hivatkozások kezelésében van, ha ezt a "megfelelő" formátumban kapja meg az Outlook, akkor a sérülékenység kihasználhatóvá válik. Ez akár egy HMTL formátumú e-mail üzeneten keresztül is megtörténhet.
A Microsoft azt javasolja, hogy:
- telepítsük fel a Microsoft Office Service Pack 3-at (angol nyelven letölthető itt), vagy
- állítsuk be azt, hogy a leveleket egyszerű szöveges formátumban olvassuk (részletek itt), vagy
- ne használjuk az Outlook Ma mappát mint alapértelmezett honlapot a programban.
Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)