Chyba v Outlooku umožňovala kontrolu nad OS, s opravou neotálejte

V rámci velkého úterního balíku oprav, který Microsoft rozeslal uživatelům MS Office, byla opravena i velmi závažná chyba, která umožňovala útočníkům spouštět velmi nebezpečné přílohy mailů. Ty mohly vést i k plnému přístupu k operačnímu systému. Na chybu upozornil bezpečnostní expert Haifei Li (PDF). Pokud používáte balík Office 2007 s SP3 nebo novější, s dostupnou aktualizací byste rozhodně neměli otálet.

Aplikace balíku Office používají pro vkládání objektů do dokumentů nebo těla emailů tzv. Object Linking and Embedding (OLE) a pro správu příloh využívá Outlook formát TNEF (Transport Neutral Encapsulation Format). Ty jsou rozeznatelné především díky tradičnímu názvu winmail.dat, případně win.dat. Nové verze Outlooku zároveň umí přílohy emailů zobrazovat společně s textem v náhledovém okně. Pro většinu formátů používá samostatný sandbox tak, aby se případný škodlivý obsah nedostal k systémový souborům.

Při určitém nastavení přílohy winmail.dat však Outlook pro náhled nevyužíval sandboxovaný prostor a vložené objekty pomocí OLE tak mohly ohrozit systém. Pokud se útočník rozhodl, že využije například jednu z mnoha děr ve Flashi, mohl získat plný přístup k systému. Na videu demonstroval Haifei Li chyby jednoduchým spuštěním Kalkulačky. Email přitom nemusel být otevřen tradiční cestou, stačilo zobrazení v náhledovém okně.

Microsoft na webu radí, jak postupovat v případě, že k aktualizaci nemáte přístup. Doporučuje v Outlooku zcela deaktivovat okno s náhledem a v konfiguraci natavit zobrazování emailů v holém textu.

Témata článku: Microsoft, Bezpečnost, Microsoft Office, Sandbox, Transport

5 komentářů

Nejnovější komentáře

  • Vladimír Bureš 18. 12. 2015 20:03:04
    Rusim ty internety budu OFFLINE! Ted vazne z neceho takoveho cloveka...
  • Dark_Jo_ 18. 12. 2015 18:08:37
    Člověk si nevybere. :-/
  • ANNO2077 18. 12. 2015 17:00:04
    no JASNE ;-);-);-);-);-) :-)) byla to urcite chyba ze jo ! a muzete si...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 51

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 111

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?