A Microsoft Outlook a világ egyik legnépszerűbb e-mail platformja. Személy szerint az Outlook e-mail címemre bízom a munka- és a személyes feladatok elvégzésekor.

Sajnos az Outlook nem biztos, hogy olyan biztonságos, mint ahogy azt a felhasználók gondolnák. A Carnegie Mellon Szoftverfejlesztési Intézet által közzétett jelentés szerint az Outlook biztonsági hibával jár, amely jelszó-kivonást válthat ki, amikor a felhasználók egy Rich Text Format e-mailt megtekintenek, amely távolról üzemeltetett OLE-objektumokat tartalmaz.

Nézze meg az Outlook jelszavát

Ez a biztonsági rés azért rejlik, mert a Redmond óriás nem alkalmaz szigorú tartalomellenőrzést és korlátozásokat, amikor elemeket távoli SMB-kiszolgálóról tölt be. Másrészt ugyanazt a sebezhetőséget nem lehet kihasználni az internetes tárolt tartalmak elérésekor, mivel a Microsoft sokkal szigorúbb korlátozásokat alkalmaz az ilyen típusú tartalmak kezelésekor.

Az Outlook nem tölti be a webhelyen tárolt képeket e-mailekben a felhasználók IP-címeinek védelme érdekében. Amikor a felhasználók hozzáférnek az RTF e-mail üzenetekhez, amelyek távoli SMB-kiszolgálóról betöltött OLE objektumokat tartalmaznak, az Outlook betölti a megfelelő képeket.

Ez számos szivárgáshoz vezet, amelyek tartalmazzák az IP-címet, a domain nevet és egyebeket, amint a jelentések elmagyarázzák:

Az Outlook blokkolja a távoli webtartalmat a webhibák adatvédelmi kockázata miatt. De egy gazdag szöveges e-maillel az OLE objektum betöltésre kerül felhasználói beavatkozás nélkül. Itt látható, hogy egy SMB kapcsolat automatikusan tárgyalásra kerül. Az egyedüli művelet, amely ezt a tárgyalást kiváltja, az Outlook egy hozzá elküldött e-mail előnézete. Látom, hogy a következő dolgok szivárognak: IP-cím, domain név, felhasználónév, gazdagép neve, SMB munkamenet-kulcs. A gazdag szöveges e-mail üzenetekben lévő távoli OLE objektum úgy működik, mint egy webhiba a szteroidokon!