Nehezen megfejthető hibát tartalmazott az androidos Outlook
Az Outlook alkalmazás Android kompatibilis kiadása egy veszélyes biztonsági rést tartalmazott.A Microsoft az Outlook for Android alkalmazás kapcsán újabb frissítést adott ki, amely ezúttal egy fontos biztonsági hibajavítást is magában foglal. Egy olyan sérülékenység megszüntetésére kellett sort keríteniük a fejlesztőknek, amely adatlopáshoz, illetve kódfuttatáshoz járulhatott hozzá. A kockázatokat az is növelte, hogy a hiba kihasználásához mindössze annyi elegendő volt, hogy a felhasználó megnyisson egy speciálisan összeállított levelet.
Mint kiderült, a sebezhetőség nem egy teljesen új felfedezés, hiszen arra 2018 decemberében akadt rá Bryan Appleby, az F5 Networks biztonsági kutatója. A szakembernek akkor sikerült egy olyan e-mailt összeállítania, amivel a sérülékenységet ki tudta használni. Ebben a levélben egy iframe volt, amibe JavaScript kódok kerültek. Ezeket pedig az Outlook app a küldemény megnyitásakor szó nélkül lefuttatta. Ezt követően XSS (cross-site scripting) típusú támadásokat lehetett végrehajtani. A szakember szerint a biztonsági hiba lehetőséget adott a beérkező levelek számára fenntartott mappában történő kotorászásra.
Rögtön érkezett a kérdés, hogy miért tartott hónapokig a sérülékenység megszüntetése. Erre a választ végül Appleby adta meg, aki szerint az volt a gond, hogy a Microsoftnál nem sikerült reprodukálni a hibajelenséget, ami értelemszerűen megnehezítette a hiba javítását. A megoldáshoz végül az vezetett közelebb, hogy a biztonsági szakember tovább vizsgálta a sérülékenységet, és rájött arra, hogy akkor működőkőképes egy ilyen támadás, ha az e-mail egy pontosan formázott telefonszámot is rejt. Végül egy amerikai formátumban megadott telefonszámot is tartalmazó üzenettel sikerült előcsalogatni a hibát a Microsoftnál.
Appleby minden Outlook for Android felhasználónak azt javasolta, hogy mindig tartsák naprakészen ezt az alkalmazást is.
-
A Cisco IOS XE-hez több patch vált elérhetővé.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.