Microsoft Outlook чабуулчуларга зыяндуу кесепеттүү программаны иштетүүгө мүмкүндүк берген жакында табылган кемчиликке ээ. максаттуу компьютерлер. Жөнөтүүчүгө жараша, Morphisec изилдөөчүлөрү тарабынан табылган бул коопсуздук алсыздыгын колдонуучунун катышуусуз эле колдонсо болот.
CVE-2024-38021 катары белгилүү болгон аялуу, уруксатсыз чабуулчуларга кодду алыстан аткаруу мүмкүнчүлүгүн берет ( RCE) башка тараптарга таандык компьютерлерде. Ишенимдүү жөнөтүүчүлөрдөн электрондук каттар жөнөтүлгөндө, Morphisecтин изилдөөсүнө ылайык, Microsoftтун алгачкы билдирүүсүнө карабастан, нөл чыкылдатуу менен эксплуатация пайда болушу мүмкүн.
Morphisec Microsoftту анын олуттуу кесепеттеринен улам, өзгөчө ишенимдүү жөнөтүүчүлөр үчүн нөл чыкылдатуу векторунан улам, алсыздыкты критикалык деп баалоого түрттү. Азырынча Microsoft ага 8.8.8 деген жогорку деңгээлдеги CVSS упайы ыйгарды.
CVE-2024-38021 эксплуатациялоо зыяндуу аракеттерге, мыйзамсыз кирүүлөргө жана маалыматтардын агып кетишине алып келиши мүмкүн. Колдонуучуну идентификациялоону талап кылбоо менен тобокелдик кыйла жогорулайт, бул массалык эксплуатацияга жол ачат.
21-апрелде Morphisec Microsoft корпорациясына алсыздык жөнүндө кабарлады, ал эми 9-июлдан баштап патч жеткиликтүү. Office 2016, 2019, LTSC 2021 жана Enterprise үчүн Microsoft 365 колдонмолору таасир эткен нерселердин катарына кирет. Майкрософт кардарларга программалык камсыздоону мүмкүн болушунча тезирээк жаңыртууну сунуштайт, ал тургай, эч кандай белгилүү активдүү эксплуатация жагдайлары жок.
Майкрософт ошондой эле июнда Outlook программасында дагы бир RCE кемчилигин (CVE-2024-30103) жаңылады. Белгилүү бир шарттарда, бул кемчилик колдонуучунун катышуусуз эле пайдаланылышы мүмкүн. Август айында Лас-Вегаста өтүүчү Defcon 32хакерлер конференциясында эки кемчиликтердин тең техникалык деталдары көрсөтүлөт.