Уязвимость утечки информации в Microsoft Outlook из-за некорректной обработки ссылок на вложенные файлы в электронных письмах
Описание
Уязвимость может позволить пользователям делиться прикрепленными файлами таким образом, что к ним могут получить доступ анонимные пользователи, хотя доступ должен быть ограничен для ограниченного числа пользователей.
Условия эксплуатации
Чтобы использовать эту уязвимость, злоумышленник должен прикрепить файл в виде ссылки к электронному письму. Затем это письмо можно отправить лицам, у которых не должно быть доступа к файлам, игнорируя установленные организационные настройки.
Решение
Обновление безопасности исправляет уязвимость путем корректировки обработки Outlook ссылок на вложенные файлы.
Часто задаваемые вопросы (FAQ)
Какие данные могут быть раскрыты в связи с этой уязвимостью?
Тип информации, которая может быть раскрыта, если злоумышленник успешно воспользуется этой уязвимостью, это неинициализированная память.
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Да, Окно предпросмотра является вектором атаки.
Если Окно предпросмотра является вектором атаки, почему важность этой уязвимости обозначена как Важная, а не Критическая?
Несмотря на то, что Окно предпросмотра является вектором атаки, злоумышленник не может выполнить удаленное выполнение кода при успешной эксплуатации уязвимости, но может получить информацию от жертвы.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Outlook 2013 RT Service Pack 1 | - | |
| Microsoft Outlook 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Outlook 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Outlook 2016 (32-bit edition) | ||
| Microsoft Outlook 2016 (64-bit edition) | ||
| Microsoft Outlook 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Outlook 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2019 for 32-bit editions | - | |
| Microsoft Office 2019 for 64-bit editions | - | |
| Microsoft 365 Apps for Enterprise for 32-bit Systems | - |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
An information disclosure vulnerability exists when attaching files to Outlook messages. This vulnerability could potentially allow users to share attached files such that they are accessible by anonymous users where they should be restricted to specific users. To exploit this vulnerability, an attacker would have to attach a file as a link to an email. The email could then be shared with individuals that should not have access to the files, ignoring the default organizational setting. The security update addresses the vulnerability by correcting how Outlook handles file attachment links.
An information disclosure vulnerability exists when attaching files to Outlook messages, aka 'Microsoft Outlook Information Disclosure Vulnerability'.
Уязвимость почтового клиента Microsoft Outlook, вызванная выходом операции за границы буфера в памяти, позволяющая нарушителю раскрыть защищаемую информацию
EPSS