Az Outlook hiba sokkal veszélyesebb, mint hitték

Amint azt két napja megírtuk, a Microsoft Outlook 2002 e-mailkliensében felfedeztek egy biztonsági rést, melyet a lassan szokásossá váló, minden hónap második keddjén érkező microsoftos patch-sorozat egyik javítása helyre tud hozni. Ezzel kapcsolatban nincs is probléma, időközben azonban kiderült, hogy az eredetileg ˝csupán˝ fontosnak minősített sérülékenység mégis kritikus besorolást ˝érdemel˝. A Microsoft technikai információkat tartalmazó weboldalán levő ˝enyhítő körülmények˝ szerint ugyanis csak azok a felhasználók vannak veszélyben, akik rendelkeznek a kliensben az úgynevezett Outlook Today mappával, illetve ez az alapértelmezett weblapjuk az Outlook 2002-ben. Ennél azonban nagyobb a probléma, hívta fel egy finn biztonságtechnikai szakértő, Jouko Pynonnen a Microsoft figyelmét, aki aztán megtette a szükséges lépést. Ettől függetlenül a kiadott patch tökéletes gyógyírt jelent a problémára.

A 828040-es sorszámú sebezhetőség miatt egyébként az Outlook azért bizonyult sebezhetőnek, mert az Internet Explorernek lehetővé teszi script kód futtatását az érintett rendszeren, helyi számítógépes zóna privilégiumokkal. Egy, az adott feltételeknek megfelelő, speciálisan létrehozott mailto URL Outlook 2002 általi ellenőrzése váltja ki közvetlenül a rendszer sérülékenységét. Sikeres behatolás után a távoli felhasználó tetszőleges (akár rosszindulatú) kódot futtathat az érintett rendszeren; a bejelentkezett felhasználó biztonsági kontextusában.

Az elmúlt 18 hónapban egyébként ez a harmadik olyan eset, amikor Redmond kénytelen megemelni egy biztonsági hiba veszélyességét. 2002. decemberében két mérsékelten veszélyesnek (moderate) minősített sebezhetőség kapott kritikus státuszt, miután az IT-biztonsággal foglalkozó kutatók nagyobbnak találták a lyukat, mint a Microsoft.