„Microsoft Outlook“ yra viena iš populiariausių el. Pašto platformų pasaulyje. Aš asmeniškai pasitikiu savo „Outlook“ el. Pašto adresu atliekant su darbu susijusias ir asmenines užduotis.

Deja, „Outlook“ gali būti ne tokia saugi, kaip mes norėtume galvoti. Remiantis Carnegie Mellon programinės įrangos inžinerijos instituto paskelbta ataskaita, „Outlook“ pateikiama su saugos klaida, kuri gali sukelti slaptažodžių maišos nutekėjimą, kai vartotojai peržiūri „Rich Text Format“ el. Laiškus, kuriuose yra nuotoliniu būdu priglobti OLE objektai.

Stebėkite „Outlook“ slaptažodį

Ši saugos spraga egzistuoja, nes „Redmond“ milžinas nenaudoja griežto turinio patikrinimo ir apribojimų, kai krauna elementus iš nuotolinio SMB serverio. Kita vertus, tos pačios pažeidžiamumo negalima išnaudoti prieinant prie žiniatinklio priglobto turinio, nes „Microsoft“ taiko daug griežtesnius apribojimus dirbdama su tokio tipo turiniu.

„Outlook“ neapkrauna žiniatinklio priglobtų vaizdų el. Laiškuose, kad apsaugotų vartotojų IP adresus. Tačiau vartotojams pasiekus RTF el. Pašto pranešimus, kuriuose yra OLE objektai, įkelti iš nuotolinio SMB serverio, „Outlook“ įkelia atitinkamus vaizdus.

Kaip ataskaitose paaiškinta, tai lemia nutekėjimą, apimantį IP adresą, domeno vardą ir dar daugiau:

„Outlook“ blokuoja nuotolinį žiniatinklio turinį dėl interneto klaidų privatumo rizikos. Turint turtingo teksto el. Laišką, OLE objektas įkeliamas be vartotojo sąveikos. Čia matome, kaip automatiškai deramasi dėl SMB ryšio. Vienintelis veiksmas, suaktyvinantis šias derybas, yra „Outlook“ peržiūra jai siunčiamus el. Laiškus. Matau, kad nutinka šie dalykai: IP adresas, domeno vardas, vartotojo vardas, pagrindinio kompiuterio vardas, SMB sesijos raktas. Nuotolinio OLE objektas, esantis turtingo teksto el. Laiškuose, veikia kaip internetinė steroidų klaida!