Microsoft Outlook duela gutxi aurkitutako ahultasun bat du, erasotzaileek malware maltzurra exekutatzeko aukera ematen diena. helburuko ordenagailuak. Bidaltzailearen arabera, Morphisec ikertzaileek aurkitutako segurtasun ahultasun hori erabiltzaileen inongo inplikaziorik gabe ustiatu daiteke.
CVE-2024-38021 izenarekin ezagutzen den ahultasunak baimenik gabeko erasotzaileei kodea urrunetik exekutatzeko aukera ematen die ( RCE) beste alderdi batzuen jabetzako ordenagailuetan. Posta elektronikoak igorle fidagarrietatik bidaltzen direnean, zero klik ustiapena gerta daiteke, Morphisec-en ikerketen arabera, Microsoft-ek hasierako komunikazioa izan arren, ahultasunak erabiltzaileek debekatutako edukia baimentzea eskatzen dutela.
Morphisec-ek Microsoft bultzatu du ahultasuna kritiko gisa sailkatzera, bere ondorio larriengatik, batez ere igorle fidagarrientzako zero klik bektorearekin. Momentuz, Microsoft-ek CVSS puntuazioa larritasun handia esleitu dio 8.8.
CVE-2024-38021 ustiatzeak jarduera kaltegarriak, legez kanpoko sarbideak eta datu-ihesak eragin ditzake. Arriskua asko areagotzen da erabiltzailearen identifikazioa ez eskatzen, eta horrek ustiapen masiborako ateak zabaltzen ditu.
Apirilaren 21ean, Morphisec-ek ahultasuna jakinarazi zion Microsofti, eta uztailaren 9tik aurrera, adabaki bat dago eskuragarri. Office 2016, 2019, LTSC 2021 eta Microsoft 365 Apps for Enterprise dira eragina duten elementuen artean. Microsoft-ek bezeroei beren softwarea ahalik eta azkarren eguneratzea gomendatzen die, nahiz eta ustiapen egoera aktibo ezagutzen ez izan.
Microsoft-ek beste RCE ahultasun bat ere adabaki zuen (CVE-2024-30103) Outlook-en ekainean. Zenbait egoeratan, ahultasun hori ustiatu daiteke erabiltzaileek inolako parte-hartzerik gabe. Abuztuan Las Vegasen egingo den Defcon 32hacker-en konferentzian, bi ahultasunen xehetasun teknikoen aurkezpenak izango dira.