Microsoft Outlook je ena najbolj priljubljenih e-poštnih platform na svetu. Osebno se zanašam na svoj Outlook e-poštni naslov za delovna in osebna opravila.

Žal Outlook morda ni tako varen, kot bi si radi mislili uporabniki. V skladu s poročilom, ki ga je objavil Inštitut za programsko opremo Carnegie Mellon, Outlook prihaja z varnostno napako, ki bi lahko sprožila puščanje mešanice gesla, ko si uporabniki ogledajo e-poštna sporočila formata obogatenega besedila, ki vsebujejo oddaljene objekte OLE.

Pazi na svoje geslo za Outlook

Ta varnostna ranljivost obstaja, ker Redmond velikan pri nalaganju elementov z oddaljenega strežnika SMB ne uporablja strogega preverjanja vsebine in omejitev. Po drugi strani iste ranljivosti ni mogoče izkoristiti pri dostopu do vsebin, ki jih gostijo spletni, saj Microsoft uporablja veliko strožje omejitve, ko se ukvarja s to vrsto vsebine.

Outlook ne nalaga spletnih gostujočih slik v e-poštna sporočila, da bi zaščitil IP naslove uporabnikov. Ko pa uporabniki dostopajo do e-poštnih sporočil RTF, ki vsebujejo predmete OLE, naložene z oddaljenega strežnika SMB, Outlook naloži ustrezne slike.

To povzroči vrsto puščanj, ki vključujejo naslov IP, ime domene in več, kot pojasnjujejo poročila:

Outlook blokira oddaljeno spletno vsebino zaradi tveganja zasebnosti spletnih hroščev. Toda z e-pošto z bogatim besedilom je predmet OLE naložen brez interakcije uporabnika. Tu lahko vidimo, da se povezava SMB samodejno pogaja. Edino dejanje, ki sproži to pogajanje, je Outlook, ki predogleda e-poštno sporočilo, ki mu je poslano. Vidim, da puščajo naslednje stvari: IP naslov, ime domene, uporabniško ime, ime gostitelja, SMB ključ seje. Oddaljeni objekt OLE v bogatih besedilnih e-poštnih sporočilih deluje kot spletni hrošč na steroidih!