W Microsoft Outlook wykryto lukę

Informujemy o wykryciu luki w aplikacji Outlook, wchodzącej w skład pakietów biurowych Microsoft Office XP/2003, oraz w programie Outlook Web Access, rozpowszechnianej razem z Exchange 2003. Problem związany z luką polega na tym, że przestępca może sfałszować adres w polu nadawcy wiadomości elektronicznej.

W tym celu, wiadomość musi zawierać klika adresów w polu „Od” (From), rozdzielonych przecinkami. Podczas przetwarzania takiej wiadomości program Outlook oraz Outlook Web Access wyświetli tylko pierwszy adres. Na przykład, jeżeli jako nadawca wskazany jest support@your.comapny i phisher@attackers.domain, to odbiorca podczas przeglądania wiadomości w jednym z wyżej wymienionych programów zobaczy tylko support@your.comapny.

W ten sposób luka teoretycznie daje możliwość wysyłki wiadomości pocztowych, które dla odbiorcy końcowego będą wyglądały jakby były wysłane ze znanego źródła, na przykład wewnętrznej sieci korporacyjnej. Gigant softwarowy już wie o istnieniu luki, jednak do tej pory jeszcze nie wydał dla niej osobnej łatki. Najprawdopodobniej odpowiednia łatka zostanie dołączona do kolejnego service packa. Nie wykluczone, że wyżej opisany problem może dotyczyć i wcześniejszych wersji Outlook i Outlook Web Access. Klient pocztowy Microsoft Outlook Express nie zawiera danej luki.

Źródło: DrWEB