Перейти к основному содержанию

Уязвимость нулевого дня в Outlook — CVE-2023-23397

Information Seciurity

Microsoft исправила критическую уязвимость нулевого дня в Outlook — CVE-2023-23397 (9.8 балла по шкале CVSS).

Злоумышленник может отправить жертве специальное электронное письмо, которое крадёт и отправляет на внешний ресурс Net-NTLMv2 хэш пароля. Всё.

Более того, срабатывание уязвимости происходит до прочтения письма в панели предварительного просмотра во время загрузки и обработки письма почтовым сервером. Или при запуске уведомления в системе.

Затронуты все версии Microsoft  Outlook для Windows.

Эксплойт уже лежит на гитхабе, пора бы обновить все клиентские машины...

P.S.

Исправления есть не для всех версий Outlook. Достаём попкорн...

 

Похожие материалы

Exim — уязвимость Zero-day

Популярные почтовые сервера Exim находятся под угрозой. Обнаружено шесть ошибок, четыре из которых уязвимы к удалённому выполнению кода с рейтингом от 7.5 до 9.8 (!), а ещё две раскрывают конфиденциальную информацию.

Теги

Уязвимость SigRed в DNS сервере Windows

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.

Теги

Уязвимость Barracuda Email Security Gateway Appliance — требуется замена всех устройств

Компания Barracuda Networks уведомила своих клиентов о том, что затронутые устройства ESG должны быть немедленно заменены.

Теги