В Microsoft Outlook найдена уязвимость
Компания iDefense сообщает об обнаружении уязвимости в приложении Outlook, входящем в состав офисных пакетов Microsoft Office XP/2003, а также программе Outlook Web Access, распространяющейся вместе с Exchange 2003.
Суть проблемы сводится к тому, что злоумышленник может фальсифицировать адрес в поле отправителя электронного сообщения. Для этого необходимо сформировать письмо, содержащее сразу несколько адресов в поле "От" (From), разделенных запятыми. При обработке такого послания программы Outlook и Outlook Web Access отобразят только лишь первый адрес. Например, если в качестве отправителей письма указаны support@your.company и phisher@attackers.domain, то получатель при условии просмотра сообщения в одной из вышеназванных программ увидит только support@your.company.
Таким образом, дыра теоретически обеспечивает возможность отсылки писем, которые для конечного получателя будут выглядеть так, будто они отправлены из доверительного источника, например, внутренней корпоративной сети. Софтверный гигант уже поставлен в известность о существовании уязвимости, однако отдельного патча для нее выпускать не планируется. Вероятнее всего, соответствующая заплатка войдет в состав будущего сервис-пака. Не исключено, что вышеописанная проблема затрагивает и более ранние версии Outlook и Outlook Web Access. Почтовый клиент Microsoft Outlook Express данной дыры не содержит.