மைக்ரோசாப்ட் அவுட்லுக் உலகின் மிகவும் பிரபலமான மின்னஞ்சல் தளங்களில் ஒன்றாகும். வேலை தொடர்பான மற்றும் தனிப்பட்ட பணிகளுக்காக நான் தனிப்பட்ட முறையில் எனது அவுட்லுக் மின்னஞ்சல் முகவரியை நம்புகிறேன்.

துரதிர்ஷ்டவசமாக, பயனர்கள் நாம் சிந்திக்க விரும்பும் அளவுக்கு அவுட்லுக் பாதுகாப்பாக இருக்காது. கார்னகி மெலன் மென்பொருள் பொறியியல் நிறுவனம் வெளியிட்டுள்ள அறிக்கையின்படி, தொலைதூர ஹோஸ்ட் செய்யப்பட்ட OLE பொருள்களைக் கொண்ட பணக்கார உரை வடிவமைப்பு மின்னஞ்சல்களை பயனர்கள் முன்னோட்டமிடும்போது கடவுச்சொல் ஹாஷ் கசிவைத் தூண்டும் பாதுகாப்புப் பிழையுடன் அவுட்லுக் வருகிறது.

உங்கள் அவுட்லுக் கடவுச்சொல்லைப் பாருங்கள்

தொலைநிலை SMB சேவையகத்திலிருந்து உருப்படிகளை ஏற்றும்போது ரெட்மண்ட் மாபெரும் கடுமையான உள்ளடக்க சரிபார்ப்பு மற்றும் கட்டுப்பாடுகளைப் பயன்படுத்தாததால் இந்த பாதுகாப்பு பாதிப்பு உள்ளது. மறுபுறம், இணைய ஹோஸ்ட் செய்யப்பட்ட உள்ளடக்கத்தை அணுகும்போது அதே பாதிப்பைப் பயன்படுத்த முடியாது, ஏனெனில் மைக்ரோசாப்ட் இந்த வகை உள்ளடக்கத்தைக் கையாளும் போது மிகவும் கடுமையான கட்டுப்பாடுகளைப் பயன்படுத்துகிறது.

பயனர்களின் ஐபி முகவரிகளைப் பாதுகாப்பதற்காக அவுட்லுக் வலை ஹோஸ்ட் செய்த படங்களை மின்னஞ்சல்களில் ஏற்றாது. இருப்பினும், பயனர்கள் தொலை SMB சேவையகத்திலிருந்து ஏற்றப்பட்ட OLE பொருள்களைக் கொண்ட RTF மின்னஞ்சல் செய்திகளை அணுகும்போது, ​​அவுட்லுக் அந்தந்த படங்களை ஏற்றும்.

அறிக்கைகள் விளக்குவது போல ஐபி முகவரி, டொமைன் பெயர் மற்றும் பலவற்றை உள்ளடக்கிய தொடர்ச்சியான கசிவுகளுக்கு இது வழிவகுக்கிறது:

வலை பிழைகளின் தனியுரிமை ஆபத்து காரணமாக தொலைநிலை வலை உள்ளடக்கத்தை அவுட்லுக் தடுக்கிறது. ஆனால் பணக்கார உரை மின்னஞ்சலுடன், OLE பொருள் பயனர் தொடர்பு இல்லாமல் ஏற்றப்படுகிறது. SMB இணைப்பு தானாகவே பேச்சுவார்த்தை நடத்தப்படுவதை விட இங்கே நாம் காணலாம். இந்த பேச்சுவார்த்தையைத் தூண்டும் ஒரே செயல் அவுட்லுக் அதற்கு அனுப்பப்படும் மின்னஞ்சலை முன்னோட்டமிடுவதுதான். பின்வரும் விஷயங்கள் கசிந்து கொண்டிருப்பதை என்னால் காண முடிகிறது: ஐபி முகவரி, டொமைன் பெயர், பயனர் பெயர், ஹோஸ்ட் பெயர், SMB அமர்வு விசை. பணக்கார உரை மின்னஞ்சல் செய்திகளில் தொலைநிலை OLE பொருள் ஸ்டெராய்டுகளில் வலை பிழை போல செயல்படுகிறது!