Перейти к основному содержанию

Уязвимость нулевого дня в Outlook — CVE-2023-23397

Information Seciurity

Microsoft исправила критическую уязвимость нулевого дня в Outlook — CVE-2023-23397 (9.8 балла по шкале CVSS).

Злоумышленник может отправить жертве специальное электронное письмо, которое крадёт и отправляет на внешний ресурс Net-NTLMv2 хэш пароля. Всё.

Более того, срабатывание уязвимости происходит до прочтения письма в панели предварительного просмотра во время загрузки и обработки письма почтовым сервером. Или при запуске уведомления в системе.

Затронуты все версии Microsoft  Outlook для Windows.

Эксплойт уже лежит на гитхабе, пора бы обновить все клиентские машины...

P.S.

Исправления есть не для всех версий Outlook. Достаём попкорн...

 

Похожие материалы

Уязвимость BootHole в загрузчике GRUB2

Специалисты из компании Eclypsium обнаружили уязвимость переполнения буфера в конфигурационном файле загрузчика GRUB2, который используется при загрузке Windows, Linux, MacOS. Кроме того под удар попали серверные системы, ядра и гипервизоры. Информация была опубликована 29 июля 2020 года, по согласованию с поставщиками операционных систем и производителями компьютеров. Уязвимость позволяет выполнить при загрузке произвольный код.

Уязвимость Barracuda Email Security Gateway Appliance — требуется замена всех устройств

Компания Barracuda Networks уведомила своих клиентов о том, что затронутые устройства ESG должны быть немедленно заменены.

Теги