Компания iDefense сообщает об обнаружении уязвимости в приложении Outlook, входящем в состав офисных пакетов Microsoft Office XP/2003, а также программе Outlook Web Access, распространяющейся вместе с Exchange 2003.
Суть проблемы сводится к тому, что злоумышленник может фальсифицировать адрес в п
ле отправителя электронного сообщения. Для этого необходимо сформировать письмо, содержащее сразу несколько адресов в поле “От” (From), разделенных запятыми. При обработке такого послания программы Outlook и Outlook Web Access отобразят только лишь первый адрес. Например, если в качестве отправителей письма указаны [email protected] и [email protected], то получатель при условии просмотра сообщения в одной из вышеназванных программ увидит только [email protected].
Таким образом, пишет Compulenta.ru, дыра теоретически обеспечивает возможность отсылки писем, которые для конечного получателя будут выглядеть так, будто они отправлены из доверительного источника, например, внутренней корпоративной сети. Софтверный гигант уже поставлен в известность о существовании уязвимости, однако отдельного патча для нее выпускать не планируется. Вероятнее всего, соответствующая заплатка войдет в состав будущего сервис-пака. Не исключено, что вышеописанная проблема затрагивает и более ранние версии Outlook и Outlook Web Access. Почтовый клиент Microsoft Outlook Express данной дыры не содержит. Дополнительную информацию можно найти в бюллетене безопасности (http://www.idefense.com/application/poi/display?id=227&type=vulnerabilities) iDefense.