Microsoft Outlook վերջերս հայտնաբերվել է խոցելիություն, որը թույլ է տալիս հարձակվողներին գործարկել չարամիտ ծրագրեր: թիրախային համակարգիչներ: Կախված ուղարկողից՝ Morphisec հետազոտողների կողմից հայտնաբերված անվտանգության այս թուլությունը կարող է օգտագործվել առանց օգտվողի ներգրավման:
Խոցելիությունը, որը հայտնի է որպես CVE-2024-38021, չարտոնված հարձակվողներին հնարավորություն է տալիս հեռակա կարգով գործարկել կոդը ( RCE) այլ կողմերին պատկանող համակարգիչների վրա: Երբ նամակներ են ուղարկվում հուսալի ուղարկողներից, զրոյական սեղմումով շահագործումը կարող է տեղի ունենալ, համաձայն Morphisec-ի հետազոտության, չնայած Microsoft-ի նախնական հաղորդագրությանը, որ խոցելիությունը օգտատերերից պահանջում է թույլ տալ արգելված բովանդակություն:
Morphisec-ը ստիպել է Microsoft-ին դասակարգել խոցելիությունը որպես կրիտիկական՝ դրա լուրջ հետևանքների պատճառով, հատկապես վստահելի ուղարկողների համար զրոյական սեղմման վեկտորով: Այս պահին Microsoft-ը նրան շնորհել է բարձր խստություն CVSS գնահատական 8.8:
CVE-2024-38021-ի շահագործումը կարող է հանգեցնել վնասակար գործունեության, անօրինական մուտքի և տվյալների արտահոսքի: Ռիսկը մեծապես մեծանում է՝ չպահանջելով օգտատերերի նույնականացում, ինչը դուռ է բացում զանգվածային շահագործման համար:
Ապրիլի 21-ին Morphisec-ը տեղեկացրեց Microsoft-ին խոցելիության մասին, և հուլիսի 9-ի դրությամբ կարկատակը հասանելի է: Office 2016, 2019, LTSC 2021 և Microsoft 365 Apps for Enterprise-ն այն տարրերից են, որոնք ազդում են: Microsoft-ը հաճախորդներին խորհուրդ է տալիս հնարավորինս շուտ թարմացնել իրենց ծրագրաշարը, նույնիսկ եթե չկան հայտնի ակտիվ շահագործման իրավիճակներ:
Microsoft-ը նաև կարկատել է մեկ այլ RCE խոցելիություն (CVE-2024-30103) Outlook-ում հունիսին: Որոշակի հանգամանքներում այս խոցելիությունը կարող է պոտենցիալ շահագործվել առանց օգտատերերի մասնակցության: Օգոստոսին Լաս Վեգասում Defcon 32 հաքերների կոնֆերանսի ժամանակ երկու խոցելիության տեխնիկական մանրամասների շնորհանդեսներ կլինեն: