Microsoft wydał krytyczną łatkę bezpieczeństwa, aby załatać nowo odkrytą lukę w programie Outlook, oznaczoną jako CVE-2025-21298. Ta poważna podatność, sklasyfikowana jako zero-click remote code execution (RCE), stwarza ryzyko dla użytkowników, potencjalnie umożliwiając hakerom wykonanie dowolnego kodu poprzez samo wysłanie złośliwej wiadomości e-mail.
Szczegóły luki CVE-2025-21298
- Luka CVE-2025-21298 wynika z problemu „Use After Free” (CWE-416), który może być wykorzystany przez sieć z niskim poziomem złożoności i bez interakcji ze strony użytkownika.
- Współczynnik CVSS (Common Vulnerability Scoring System) dla tej luki wynosi 9.8, co oznacza jej krytyczny poziom zagrożenia.
- Potencjalny wpływ na poufność, integralność i dostępność danych są oceniane jako wysoki.
- Chociaż luka nie została publicznie ujawniona ani wykorzystana w momencie wydania poprawki, eksperci wskazują, że jej wykorzystanie jest wysoce prawdopodobne.
Zalecane działania
Aby zminimalizować ryzyko związane z CVE-2025-21298, Microsoft zaleca:
1. Aktualizacja Outlooka: Najważniejszym działaniem jest natychmiastowe zainstalowanie oficjalnej poprawki.
2. Ustawienia wyświetlania e-maili: Użytkownicy są zachęcani do skonfigurowania Microsoft Outlooka tak, aby odczytywał wiadomości e-mail w formacie zwykłego tekstu. To ustawienie zmniejsza ryzyko automatycznego wykonywania złośliwej zawartości osadzonej w formatach rich text.
3. Ostrożność z załącznikami: Użytkownicy powinni zachować ostrożność podczas otwierania plików RTF i innych załączników z nieznanych lub niezaufanych źródeł, ponieważ mogą one być wykorzystane do ataku.
Jeśli używasz Outlooka zachęcam do natychmiastowej aktualizacji