Microsoft Outlook היא אחת מפלטפורמות הדוא"ל הפופולריות ביותר בעולם. אני באופן אישי סומך על כתובת הדוא"ל שלי ב- Outlook עבור משימות הקשורות לעבודה כמו גם לעבודות אישיות.

למרבה הצער, Outlook עשוי לא להיות בטוח כמו שאנחנו משתמשים רוצים לחשוב. על פי דוח שפרסם המכון להנדסת תוכנה לקרנגי מלון, Outlook מגיע עם באג אבטחה שעלול לעורר דליפות של חשיפת סיסמה כאשר משתמשים מקדימים דוא"ל לפורמט עשיר המכיל אובייקטים של OLE המארחים מרחוק.

צפה בסיסמת Outlook שלך

פגיעות אבטחה זו קיימת מכיוון שענקית רדמונד אינה משתמשת באימות והגבלות תוכן קפדניות בעת טעינת פריטים משרת SMB מרוחק. מצד שני, לא ניתן לנצל את אותה פגיעות כשאתה ניגש לתוכן שמתארח באינטרנט מכיוון שמיקרוסופט מיישמת מגבלות מחמירות בהרבה בעת התמודדות עם סוג זה של תוכן.

Outlook אינו טוען תמונות המתארחות באינטרנט בהודעות דוא"ל כדי להגן על כתובות ה- IP של המשתמשים. עם זאת, כאשר משתמשים ניגשים להודעות דוא"ל RTF המכילות אובייקטים של OLE שהועמסו משרת SMB מרוחק, Outlook אכן טוען את התמונות המתאימות.

זה מוביל לסדרת דליפות הכוללות כתובת IP, שם דומיין ועוד, כפי שמסביר הדוחות:

Outlook חוסם תוכן אינטרנט מרוחק בגלל סיכון הפרטיות של באגים ברשת. אך עם דוא"ל טקסט עשיר, אובייקט ה- OLE נטען ללא אינטראקציה של משתמשים. כאן אנו יכולים לראות כי משא ומתן באופן אוטומטי על חיבור SMB. הפעולה היחידה שמפעילה משא ומתן זה היא תצוגה מקדימה של Outlook בדוא"ל שנשלח אליו. אני יכול לראות שהדברים הבאים דולפים: כתובת IP, שם תחום, שם משתמש, שם מארח, מפתח הפעלה של SMB. אובייקט OLE מרוחק בהודעות דוא"ל טקסט עשיר מתפקד כמו באג באינטרנט בסטרואידים!