Chyba v Outlooku umožňovala kontrolu nad OS, s opravou neotálejte

Chyba v Outlooku umožňovala kontrolu nad OS, s opravou neotálejte

V rámci velkého úterního balíku oprav, který Microsoft rozeslal uživatelům MS Office, byla opravena i velmi závažná chyba, která umožňovala útočníkům spouštět velmi nebezpečné přílohy mailů. Ty mohly vést i k plnému přístupu k operačnímu systému. Na chybu upozornil bezpečnostní expert Haifei Li (PDF). Pokud používáte balík Office 2007 s SP3 nebo novější, s dostupnou aktualizací byste rozhodně neměli otálet.

Aplikace balíku Office používají pro vkládání objektů do dokumentů nebo těla emailů tzv. Object Linking and Embedding (OLE) a pro správu příloh využívá Outlook formát TNEF (Transport Neutral Encapsulation Format). Ty jsou rozeznatelné především díky tradičnímu názvu winmail.dat, případně win.dat. Nové verze Outlooku zároveň umí přílohy emailů zobrazovat společně s textem v náhledovém okně. Pro většinu formátů používá samostatný sandbox tak, aby se případný škodlivý obsah nedostal k systémový souborům.

Při určitém nastavení přílohy winmail.dat však Outlook pro náhled nevyužíval sandboxovaný prostor a vložené objekty pomocí OLE tak mohly ohrozit systém. Pokud se útočník rozhodl, že využije například jednu z mnoha děr ve Flashi, mohl získat plný přístup k systému. Na videu demonstroval Haifei Li chyby jednoduchým spuštěním Kalkulačky. Email přitom nemusel být otevřen tradiční cestou, stačilo zobrazení v náhledovém okně.

Microsoft na webu radí, jak postupovat v případě, že k aktualizaci nemáte přístup. Doporučuje v Outlooku zcela deaktivovat okno s náhledem a v konfiguraci natavit zobrazování emailů v holém textu.

Témata článku: Microsoft, Bezpečnost, Microsoft Office, Závažná chyba, Nebezpečná příloha, Škodlivý obsah, Transport, Systémový soubor, Chyba, OS X, Oprava, Plný přístup, Sandbox

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 186

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

19.  10.  2017 | David Polesný | 21

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 158

Nejlepší optické iluze: Z toho vám půjde hlava kolem

Nejlepší optické iluze: Z toho vám půjde hlava kolem

** Mozek se nechá snadno ošálit, a to mnoha způsoby ** Podívejte se na několik nejlepších optických iluzí ** Iluze dokazují, že vnímání reality může být značně zkreslené

16.  10.  2017 | Vojtěch Malý


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji