Microsoft Outlook bu yaxınlarda aşkar edilmiş zəifliyə malikdir ki, bu da təcavüzkarlara zərərli proqram təminatını işə salmağa imkan verir. hədəf kompüterlər. Göndərəndən asılı olaraq, Morphisec tədqiqatçıları tərəfindən aşkar edilən bu təhlükəsizlik zəifliyindən heç bir istifadəçi iştirakı olmadan istifadə edilə bilər.
CVE-2024-38021 kimi tanınan boşluq icazəsiz təcavüzkarlara kodu uzaqdan icra etmək imkanı verir ( RCE) digər tərəflərə məxsus kompüterlərdə. E-poçtlar etibarlı göndəricilərdən göndərildikdə, Morphisec-in araşdırmasına görə, Microsoftun zəifliyin istifadəçilərdən qadağan olunmuş məzmuna icazə verməsini tələb etdiyi barədə ilkin məlumatlarına baxmayaraq, sıfır klik istismarı baş verə bilər.
Morphisec, Microsoft-u ciddi nəticələrinə görə zəifliyi kritik hesab etməyə məcbur etdi, xüsusən də etibarlı göndərənlər üçün sıfır klik vektoru ilə. Hazırda Microsoft ona 8.8 yüksək ciddilik dərəcəsini CVSS balı təyin edib.
CVE-2024-38021-in istismarı zərərli fəaliyyət, qeyri-qanuni giriş və məlumat sızması ilə nəticələnə bilər. İstifadəçinin identifikasiyası tələb olunmaması riski xeyli artırır ki, bu da kütləvi istismara yol açır.
Aprelin 21-də Morphisec Microsoft-a zəiflik barədə məlumat verdi və iyulun 9-dan etibarən yamaq əlçatandır. Office 2016, 2019, LTSC 2021 və Enterprise üçün Microsoft 365 Tətbiqləri təsirə məruz qalan elementlər sırasındadır. Microsoft müştərilərə heç bir məlum aktiv istismar halları olmasa belə, proqram təminatını mümkün qədər tez yeniləməyi tövsiyə edir.
Microsoft, həmçinin iyun ayında Outlook-da başqa bir RCE boşluğunu (CVE-2024-30103) yamaqladı. Müəyyən şəraitdə bu zəiflik istifadəçinin iştirakı olmadan potensial olaraq istifadə edilə bilər. Avqust ayında Las-Veqasda Defcon 32 haker konfransında hər iki zəifliyin texniki təfərrüatlarının təqdimatları keçiriləcək.