Outlook – zdalne wykonanie kodu bez interakcji użytkownika

vulnerability microsoft outlook

Microsoft wydał krytyczną łatkę bezpieczeństwa, aby załatać nowo odkrytą lukę w programie Outlook, oznaczoną jako CVE-2025-21298. Ta poważna podatność, sklasyfikowana jako zero-click remote code execution (RCE), stwarza ryzyko dla użytkowników, potencjalnie umożliwiając hakerom wykonanie dowolnego kodu poprzez samo wysłanie złośliwej wiadomości e-mail.

Szczegóły luki CVE-2025-21298

  • Luka CVE-2025-21298 wynika z problemu „Use After Free” (CWE-416), który może być wykorzystany przez sieć z niskim poziomem złożoności i bez interakcji ze strony użytkownika.
  • Współczynnik CVSS (Common Vulnerability Scoring System) dla tej luki wynosi 9.8, co oznacza jej krytyczny poziom zagrożenia.
  • Potencjalny wpływ na poufność, integralność i dostępność danych są oceniane jako wysoki.
  • Chociaż luka nie została publicznie ujawniona ani wykorzystana w momencie wydania poprawki, eksperci wskazują, że jej wykorzystanie jest wysoce prawdopodobne.

Zalecane działania

Aby zminimalizować ryzyko związane z CVE-2025-21298, Microsoft zaleca:

1. Aktualizacja Outlooka: Najważniejszym działaniem jest natychmiastowe zainstalowanie oficjalnej poprawki.

2. Ustawienia wyświetlania e-maili: Użytkownicy są zachęcani do skonfigurowania Microsoft Outlooka tak, aby odczytywał wiadomości e-mail w formacie zwykłego tekstu. To ustawienie zmniejsza ryzyko automatycznego wykonywania złośliwej zawartości osadzonej w formatach rich text.

3. Ostrożność z załącznikami: Użytkownicy powinni zachować ostrożność podczas otwierania plików RTF i innych załączników z nieznanych lub niezaufanych źródeł, ponieważ mogą one być wykorzystane do ataku.

Jeśli używasz Outlooka zachęcam do natychmiastowej aktualizacji

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *