Microsoft’un Outlook ve Outlook Express e-posta istemcilerinde güvenlik açıklarının çıkmadığı bir haftayı görmek, artık neredeyse imkansız hale geldi. Outlook Express ve Outlook’da, bu hafta, yine bazı güvenlik açıkları ortaya çıktı.
Dünyanın önde gelen yazılım şirketlerinden biri olan Microsoft, geçtiğimiz hafta Outlook Express’in vCards (Virtual Business Card – Sanal Kartvizit) bileşeninde bir açık olduğu konusunda kullanıcıları uyardı. Bileşendeki hata, kullanıcının e-posta eklentisi ya da bir başka yöntemle gelen vCard’ı açtığında oluşuyor. Hata, saldırganın kurbanın makinesini ele geçirmesine kadar, çeşitli kötü sonuçlara neden olabiliyor.
Hata vCard’a tehlikeli bir kodun eklenip bir başka kullanıcıya gönderilmesi yoluyla çalışıyor. vCard, kullanıcı tarafından açılıp iletişim listesine eklediğinde tehlikeli kod çalışmaya başlıyor. Microsoft’un yaptığı açıklamada, “Saldırgan, posta istemcisinin istediği kodları, kullanıcının makinesi üzerinde çalıştırabilmesini sağlıyor. Böyle bir kod, alıcının makine üzerindeki hakları ile sınırlı olmak üzere istenilmeyen durumlara yol açabilir” denildi.
Bununla birlikte, vCard’ın otomatik olarak açılmasını sağlayacak herhangi bir yöntem bulunmuyor. vCard’taki hatayı bulan ve güvenlik konularında danışmanlık hizmetleri veren @Stake analistlerinden Ollie Whitehouse, vCard’ların otomatik olarak çalıştırılamamasının saldırganların önünde bir engel oluşturmadığını belirtti ve sözlerine şöyle devam etti: “vCard eklentisinin açılabilmesi için, üzerine iki defa tıklanması gerekiyor. Asıl tehlike, kullanıcıların, vCard eklentilerinin kötü bir amaç için kullanılamayacağını düşünmeleri. vCard’ların, kötü huylu çalıştırılabilir kodları, üzerlerinde taşıyabilecekleri düşünülmüyor. Yani, son kullanıcı, kim gönderirse göndersin bu eklentileri dijital bir kartvizit gibi görüyorlar ve bunlara güveniyorlar.”
Güvenlik açığı bulunan bileşen, Internet Explorer ile birlikte gelen Outlook Express’in bir parçası olarak geliyor. Açık, Outlook Express’in bazı bileşenlerini kullanmasından dolayı, Outlook’u da etkiliyor.
Microsoft bu açığı kapatan bir yamayı sitesinde yayınladı.