Publisering av nytt Outlook-hull slaktes

Sikkerhetskonsulent Georgi Guninski sendte i slutten av forrige uke ut en sur e-post, hvor han kritiserte Microsoft og publiserte enda et sikkerhetshull i Outlook. Slikt blir det kjefting av.

Det siste sikkerhetsproblemet i Microsofts Outlook lar en angriper kjøre kode på offerets PC via web-en eller e-post i HTML-format. En trenger ikke å åpne vedlegg eller trykke på noe for at feilen skal utnyttes.

Det er en svakhet i ActiveX-kontrollene i Outlook 98, 2000 og 2002 som står for problemet. Outlook View Control gjør det mulig å se postfolderne sine via web, men gjør det også mulig å kjøre fiendtlig kode på offerets PC via Outlook, advarte Georgi Guninski i en meget tverr e-post i slutten av forrige uke.

Nå får han svar fra Microsoft. SIkkerhetssjef Scott Culp sier det er to måter å utnytte feilen på, enten ved at man besøker en nettside som utnytter hullet, eller via HTML-formattert e-post. Han synes det er feil av Guninski å offentliggjøre feilen så tidlig, før Microsoft har fått tid til å svare.

- Som en direkte konsekvens av Guninskis tidlige publisering av feilen, er kundene utsatt for en mye høyere risiko enn de hadde vært om han hadde gitt oss tid til å reagere, sier han til Computerworld USA.
Microsoft har publisert en oppfordring til å slå av ActiveX i Internet Explorer Internet Zone. Kundene bør også installere Outlook-oppdateringen selskapet har sluppet, som slår av ActiveX-kontroller automatisk.


Det jobbes med en sikkerhetsoppdatering for å lappe hullet, men det er ikke sikkert når denne vil komme.

- Siden herr Guninski valgte å gå ut på en slik uansvarlig måte, blir kundene nødt til å fikse systemene sine to ganger - første gang for å slå av ActiveX og andre gang for å installere oppdateringen, sier Culp til Computerworld USA.

Til toppen