Biztonsági hiba az Outlook Expressben

Az e-mail üzenetek hitelességének ellenőrzésének engedélyezése végett az Outlook Express az S/MIME-n keresztüli digitális aláírást támogatja. Egy puffertúlcsordulási hiba található azonban a kódban, amely hibaüzenethez vezet, mikor egy speciális hibafeltétel lép fel a digitális aláírás kapcsán.

Ennek kihasználásával egy rosszindulatú levéllel két dolgot is meg lehet tenni: jobbik esetben csak lefagy az Outlook – ekkor egy egyszerű program-újraindítás segít a problémán. Sokkal komolyabb a helyzet, ha ennél többet akar a támadó: az e-mailkliens egy tetszőleges, a támadó által meghatározott kódot is futtathat. Ennek révén pedig bármit meg lehet tenni a nyitott rendszeren, amire az adott felhasználónak joga van.

Szerencsére csak az S/MIME használatával Outlook Expressre küldött e-mailek esetében használható ki a biztonsági hiányosság. A szoftver 5.5-ös és 6.0-s változata egyaránt érintett, de az Office részének tekinthető Outlook nem.