Outlook nadal dziurawy

Naukowcy z U.S. Air Force stwierdzili, że łatki mające zwiększać bezpieczeństwo Outlooka 2000 są nieskuteczne.

Dwaj naukowcy z wydziału informatyki Akademii Lotnictwa Stanów Zjednoczonych (U.S. Air Force Academy Computer Science Department) skrytykowali stworzone przez Microsoft uaktualnienia do programu pocztowego Outlook 2000. Zostały one opracowane zaraz po atakach wirusa I love you i miały zapobiegać atakom tego typu w przyszłości. Martin Carlisle oraz Scott Studer stwierdzili w swoim raporcie, że uaktualnienia są bardzo nieskuteczne.

Patch Outlook 2000 SR-1 E-mail Security Update dodaje do aplikacji trzy nowe funkcje, według producenta podwyższające poziom zabezpieczenia. Pierwsza dotyczy załączników do e-maili i blokuje uruchomienie niektórych typów plików mogących zawierać wirusy. Druga ostrzega, jeżeli jakiś zewnętrzny program próbuje uruchomić książkę adresową i wysłać e-mail samoczynnie. Trzecia natomiast uniemożliwia wykonywanie jakichkolwiek skryptów.

Jak zaznaczyli autorzy raportu zabezpieczenia te można jednak łatwo obejść. Nie likwidują one na przykład problemu związanego z przepełnieniem bufora (buffer overflow), które można wywołać na wiele sposobów. Niedawno wykryta luka tego typu jest związana z elektronicznymi wizytówkami vCard. Specjalnie spreparowana i dołączona do e-maila wizytówka pozwala na wykonanie dowolnego kodu, pomimo zastosowania wspomnianej łatki. Co więcej, Carlisle i Studer zauważyli, że można zapobiec nawet pojawianiu się okna dialogowego ostrzegającego o problemie. Wystarczy wykorzystać w tym celu fragment kodu Visual Basic pobrany z witryny... Microsoftu. Na zakończenie stwierdzili, iż cała ta poprawka nadaje się sama do poprawki.

Więcej informacji:

www.usafa.af.mil/dfcs/


Zobacz również