Рањивост Оутлоока омогућава хакерима да краду хешеве за лозинке

Преглед садржаја:

Видео: Ð?ЮШÐ?-У МЕÐ?Я ПОЯВИЛСЯ ДРУГОЙ.Сочи. Роза Хутор. Ð¢Ð²Ð¾Ñ€Ñ‡ÐµÑ 2024

Видео: Ð?ЮШÐ?-У МЕÐ?Я ПОЯВИЛСЯ ДРУГОЙ.Сочи. Роза Хутор. Ð¢Ð²Ð¾Ñ€Ñ‡ÐµÑ 2024
Anonim

Мицрософт Оутлоок једна је од најпопуларнијих платформи за е-пошту на свету. Лично се ослањам на своју Оутлоок адресу е-поште и за радне и за личне задатке.

Нажалост, Оутлоок можда није толико сигуран како бисмо корисници желели да мислимо. Према извјештају који је објавио Институт за софтвер инжењерства Царнегие Меллон, Оутлоок долази са сигурносном погрешком која би могла покренути пропуштање хасх-а код лозинке када корисници прегледају е-пошту формата обогаћеног текста који садржи ОЛЕ објекте који се налазе на даљину.

Гледајте своју Оутлоок лозинку

Ова безбедносна рањивост постоји зато што Редмонд гигант не користи строгу верификацију садржаја и ограничења приликом учитавања ставки са удаљеног СМБ сервера. С друге стране, иста рањивост се не може искористити приликом приступа садржају веб-локација, јер Мицрософт примењује много строжа ограничења када се бави овом врстом садржаја.

Оутлоок не учитава слике са веб локација у е-поруке како би заштитио ИП адресе корисника. Међутим, када корисници приступају РТФ порукама е-поште које садрже ОЛЕ објекте учитане са удаљеног СМБ сервера, Оутлоок учитава одговарајуће слике.

То доводи до низа пропуштања која укључују ИП адресу, назив домене и још много тога, како објашњавају извештаји:

Оутлоок блокира удаљени веб садржај због ризика од приватности веб грегова. Али с богатом текстуалном е-поштом, ОЛЕ објект се учитава без корисничке интеракције. Овде видимо да се СМБ веза аутоматски преговара. Једина радња која покреће ово преговарање је Оутлоок који прегледа е-пошту која му је послана. Могу да видим како се следеће ствари провлаче: ИП адреса, име домене, корисничко име, име хоста, СМБ сесијски кључ. Удаљени ОЛЕ објект у богатим текстуалним порукама функционише као веб буг на стероидима!

Рањивост Оутлоока омогућава хакерима да краду хешеве за лозинке