Microsoft Outlook tá leochaileacht a aimsíodh le déanaí a ligeann d’ionsaitheoirí bogearraí mailíseacha a rith ar ríomhairí pearsanta sprice. Ag brath ar an seoltóir, is féidir leas a bhaint as an laige slándála seo a d’aimsigh taighdeoirí Morphisec gan baint ag an úsáideoir leis.
Tugann an leochaileacht, ar a dtugtar CVE-2024-38021, an cumas d’ionsaitheoirí neamhúdaraithe cód a fhorghníomhú go cianda ( RCE) ar ríomhairí ar le páirtithe eile iad. Nuair a sheoltar ríomhphoist ó sheoltóirí iontaofa, is féidir le saothrú náid-cliceáil tarlú, de réir taighde Morphisec, in ainneoin cumarsáid tosaigh Microsoft go n-éilíonn an leochaileacht úsáideoirí ábhar toirmiscthe a cheadú.
Chuir Morphisec brú ar Microsoft an leochaileacht a rangú mar ríthábhachtach mar gheall ar a hiarmhairtí tromchúiseacha, go háirithe leis an veicteoir náid-cliceáil do sheoltóirí iontaofa. Go dtí seo, tá déine ard scór CVSS de 8.8 sannta ag Microsoft dó.
D’fhéadfadh gníomhaíocht dhochrach, rochtain mhídhleathach agus sceitheadh sonraí a bheith mar thoradh ar shaothrú CVE-2024-38021. Méadaítear an riosca go mór toisc nach dteastaíonn sainaithint úsáideora, rud a osclaíonn an doras do shaothrú mais.
Ar 21 Aibreán, chuir Morphisec in iúl do Microsoft faoin leochaileacht, agus amhail 9 Iúil, tá paiste ar fáil. Tá Office 2016, 2019, LTSC 2021, agus Microsoft 365 Apps for Enterprise i measc na míreanna a bhfuil tionchar orthu. Molann Microsoft do chustaiméirí a gcuid bogearraí a nuashonrú chomh luath agus is féidir, fiú mura bhfuil aon staideanna dúshaothraithe gníomhacha ar eolas.
Phléigh Microsoft leochaileacht RCE eile (CVE-2024-30103) in Outlook i mí an Mheithimh. I gcúinsí áirithe, d’fhéadfaí leas a bhaint as an leochaileacht seo gan baint ag an úsáideoir leis. Ag an gcomhdháil hacker Defcon 32 i Las Vegas i mí Lúnasa, déanfar cur i láthair ar shonraí teicniúla an dá leochaileacht.