Krytyczna dziura w Outlook Express

Już po raz 58 w tym roku Microsoft poinformował o nowym błędzie w swoim produkcie. Tym razem problem dotyczy programu pocztowego Outlook Express - w zabezpieczeniach aplikacji wykryto lukę, która pozwala na przejęcie kontroli nad komputerem, na którym zainstalowano OE.

Sprawa jest tym poważniejsza, że do przejęcia kontroli nad maszyną wystarczy fragment odpowiednio spreparowanego kodu HMTL (umieszczony np. wiadomości e-mail). Problem dotyczy wersji 5.5 oraz 6.0 Outlook Express.

Outlook Express, dystrybuowany z większością systemów z rodziny Windows jest znacznie uproszczoną wersją klienta pocztowego Outlook, wchodzącego w skład pakietu Microsoft Office (tego programu wykryty właśnie problem nie dotyczy).

Z opublikowanego przez Microsoft ostrzeżenia wynika, że błąd znajduje się w mechanizmie S/MIME (Secure/Multipurpose Internet Mail Extensions), służącym do autoryzowania szyfrowanych wiadomości pocztowych - a ściślej rzecz ujmując: w kodzie, służącym do generowania komunikatów o błędach w autoryzacji wiadomości. "Dziura" może posłużyć do spowodowania błędu przepełnienia bufora i, w konsekwencji, nieautoryzowanego uruchomienia na komputerze dowolnego kodu (np. konia trojańskiego lub wirusa).

Bezpieczni są jedynie ci użytkownicy Outlook Express, którzy korzystają z wersji 5.5 SP 2 (czyli zainstalowali Service Pack 2 dla Windows 98) oraz 6.0 SP1 (Service Pack 1 dla WinXP).

Pozostali użytkownicy programu powinny zainstalować udostępnionego już przez Microsoft patcha. Znaleźć go można tutaj:
www.microsoft.com/windows/ie/downloads/critical/q328676/default.asp