Chyba v Outlooku umožňovala kontrolu nad OS, s opravou neotálejte

Chyba v Outlooku umožňovala kontrolu nad OS, s opravou neotálejte

V rámci velkého úterního balíku oprav, který Microsoft rozeslal uživatelům MS Office, byla opravena i velmi závažná chyba, která umožňovala útočníkům spouštět velmi nebezpečné přílohy mailů. Ty mohly vést i k plnému přístupu k operačnímu systému. Na chybu upozornil bezpečnostní expert Haifei Li (PDF). Pokud používáte balík Office 2007 s SP3 nebo novější, s dostupnou aktualizací byste rozhodně neměli otálet.

Aplikace balíku Office používají pro vkládání objektů do dokumentů nebo těla emailů tzv. Object Linking and Embedding (OLE) a pro správu příloh využívá Outlook formát TNEF (Transport Neutral Encapsulation Format). Ty jsou rozeznatelné především díky tradičnímu názvu winmail.dat, případně win.dat. Nové verze Outlooku zároveň umí přílohy emailů zobrazovat společně s textem v náhledovém okně. Pro většinu formátů používá samostatný sandbox tak, aby se případný škodlivý obsah nedostal k systémový souborům.

Při určitém nastavení přílohy winmail.dat však Outlook pro náhled nevyužíval sandboxovaný prostor a vložené objekty pomocí OLE tak mohly ohrozit systém. Pokud se útočník rozhodl, že využije například jednu z mnoha děr ve Flashi, mohl získat plný přístup k systému. Na videu demonstroval Haifei Li chyby jednoduchým spuštěním Kalkulačky. Email přitom nemusel být otevřen tradiční cestou, stačilo zobrazení v náhledovém okně.

Microsoft na webu radí, jak postupovat v případě, že k aktualizaci nemáte přístup. Doporučuje v Outlooku zcela deaktivovat okno s náhledem a v konfiguraci natavit zobrazování emailů v holém textu.

Diskuze (5) Další článek: VLC zamířilo na Chrome OS, poslední chybějící platformu

Témata článku: Microsoft, Bezpečnost, Microsoft Office, NEO, Závažná chyba, Systémový soubor, Sandbox, Transport, OS X, Nebezpečná příloha, Oprava, Plný přístup, Škodlivý obsah, Chyba


Určitě si přečtěte

AMD vs. Intel+Nvidia: Stejný herní notebook, stejná cena. Který je lepší?

AMD vs. Intel+Nvidia: Stejný herní notebook, stejná cena. Který je lepší?

** Acer Predator Helios 500 je poctivý velký herní notebook ** platforma AMD zdatně konkuruje tandemu Intel+Nvidia ** Srovnání nevyznívá jednoznačně

Tomáš Holčík | 35

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

** Poradíme, jaký se teď vyplatí koupit hardware ** Procesory, desky, paměti, grafické karty... je z čeho vybírat ** Počítač ale nemusíte skládat, ukážeme i výhodné hotové počítače

Stanislav Janů | 7

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 66

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 39



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů