En spoofing-sårbarhed (CVE-2019-1460) i måden hvorpå Outlook til Android håndterer specifikt udformede mails, bliver nu lukket med en sikkerhedsopdatering fra Microsoft.
En angriber kan potentielt udnytte sårbarheden til at overtage kontrollen med sårbare systemer.
Anbefaling:
Opdater altid dine produkter med de nyeste rettelser fra producenten.
De 56 sikkerhedsrettelser i januars samling fra Microsoft omfatter de rettelser til hardwaresårbarhederne Meltdown og Spectre, der blev udsendt tidligere på måneden.
I alt har Microsoft givet 16 af sårbarhederne firmaets højeste risikovurdering. Dog er der 28 sårbarheder, som lader angribere afvikle skadelig programkode.
De kritiske sårbarheder berører Windows, Outlook, Word og scripting-delen af browserne Internet Explorer og Edge.
Sikkerhedsforsker Sabri Haddouche har opdaget en sårbarhed, han kalder Mailsploit. Angribere kan udnytte sårbarheden til at sende mails med forfalsket afsenderadresse – også selvom man bruger DMARC (Domain-based Message Authentication, Reporting & Conformance).
Sårbarheden ligger i mailprogrammernes behandling af RFC-1342. Det er en standard for, hvordan man angiver afsendernavne med andre tegnsæt end ASCII.
Sikkerhedsforskere har set flere eksempler på skadelig software, der udnytter en nyopdaget metode til at afvikle kommandoer fra Office-dokumenter.
Metoden blev først set i Word, men siden har forskere opdaget, at den også kan aktiveres i Outlook. Den går ud på at indlejre et DDE-felt (Dynamic Data Exchange), der kalder en kommando.
Senest er botnettet Necurs begyndt at bruge metoden til at sprede ransomwareprogrammet Locky. Det sker via e-mails med vedhæftede Word-dokumenter.
En af oktober måneds sikkerhedsrettelser fra Microsoft lukker et hul i Outlook 2016. Sårbarheden medfører, at mails der skulle have været krypteret er blevet sendt uden kryptering.
Fejlen findes kun ved mails, der sendes uden formatering. Mails med HTML-formatering er ikke berørt.
Sårbarheden medfører, at mails der er sat til at blive krypteret med S/MIME, ganske vist bliver krypteret. Men sammen med den krypterede mail sender Outlook også en ukrypteret version.
Den ene sårbarhed gør det muligt at køre skadelig software. Det kræver, at angriberen narrer offeret til at åbne en fil.
Den anden kan give angribere adgang til fortrolig information.
Foruden at lukke de to huller retter opdateringen også flere fejl i juni måneds opdateringer til Outlook. Det drejer sig blandt andet om en fejl, der opstår, når man åbner en vedhæftet fil i RTF (Rich Text Format).