Ferenc, Olívia
-2 °C
4 °C

Biztonsági rés az Outlookban és a Messengerben

2004.03.10. 15:00
A Microsoft a márciusi biztonsági frissítések keretében javítást adott ki a Messenger üzenőszoftverhez, az Outlook levelezőprogramhoz és a Media Services szerverkiegészítőhöz. A Messengeren át rossz esetben elérhető a felhasználó gépe.
A besorolás szerint a legsürgősebb elhárítandó hiba az Outlook 2002-ben jelentkezik. A hagyományosan email címekre mutató "mailto:" linkek kezelése nem tökéletes. Adott esetben ugyanis preparált link segítségével, a bejelentkezett felhasználó hozzáférési jogait használva tetszőleges JavaScript kódokat futathat a támadó.

Az ilyen preparált linkeket emailekbe és weboldalakba egyaránt beszőhetik. A felhasználó egyszer kattint a linkre, majd a megkérdezése nélkül akár hátsó ajtó is települhet a gépére. A Microsoft szerint több feltétel teljesülése esetén aknázható ki a hiba, például ha a felhasználó az egyedileg konfigurálható Outlook Today oldalt használja nyitólapként.

Csevegés közben nyúlkál

A Microsoft besorolása szerint kisebb aggodalomra ad okot az MSN Messenger 6.0 és 6.1 változatok biztonsági rése. Különleges fájllekérés segítségével ugyanis a támadó csevegés közben tetszőleges fájlt lehívhat a felhasználó gépéről, ha ismeri a kérdéses dokumentum pontos elérési útját. A leírások szerint különösen azok vállalnak magas kockázatot, akik nem blokkolják a névtelen felhasználókat.

A harmadik javítócsomag a Windows 2000 Serveren futó Media Services 4.1 hibáját hivatott kiküszöbölni. Az alkalmazás jelen változatában preparált TCP/IP-adatcsomagokkal lebénítható, és megszakad a videoátvitel.

A Microsoft azt javasolja, hogy az érintett rendszerekre kerüljenek fel a javítások, különösen az Outlook frissítése. A 2004 első félévében várt XP Service Pack 2 segítségével a Microsoft a levelezőprogram és az IE böngésző okozta kockázatok további csökkentését próbálja elérni.

Hónapok óta ismert

Az iDefense közölte az Outlook hiba felfedezésének és kijavításának pontos kronológiáját. Tavaly októberben érkeztek az első információk az URL-kezelési gondokról. Házon belüli ellenőrzést követően novemberben értesítették a Microsoftot, majd saját ügyfeleiket.

A biztonsági cég ezt követően négy hónapos semmittevésre kényszerült, és csak 4 hónappal később, a Microsoft saját bejelentésével párhuzamosan tehetett közzé nyilvános figyelmeztetést.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Egzotikus élmények!

Amiről eddig álmodni sem mert. Luxus nyaralás, a világ legcsodálatosabb tengerpartjain.