Уязвимости в E-mail клиентах Microsoft

10/04/2005 14:59

Всё та же неутомимая cообщает об обнаружении уязвимости в почтовых клиентах корпорации Microsoft. На сей раз среди пострадавших отмечаются Microsoft Outlook (инсталлируется в составе Office XP/2003) и Outlook Web Access (OWA) (входит в Exchange 2003). Суть уязвимости заключается в том, что в этих клиентах некорректно интерпретируется поле почтоого заголовка "From:". Если в SMTP-заголовке будет несколько адресов в этом поле, разделённых запятыми, оба вышеозначенных клиента покажут только первый почтовый адрес. Сама уязивмость может быть использована для обмана почтовых фильтров корпоративных почтовых серверов, которые, в случае настройки приёма почты только от внутрикорпоративных почтовых клиентов, пропустят почту, которая на самом деле была послана снаружи (из Интернет). Подобная уязвимость может быть использована для фишинга, которые в последнее время приобретает всё больший размах. Microsoft сообщила, что не намерена включать патчи в ближайшие выпуски и, возможно, включит исправление в один из ближайших сервис-паков. Отрадно заметить, что уязвимость обнаружена нашим соотечественником Сергеем Гордейчиком.
Описание