Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的

安全 漏洞
利用 Outlook 的一个漏洞,攻击者能够让用户误信发送给他们的钓鱼邮件是真实的。

利用 Outlook 的一个漏洞,攻击者能够让用户误信发送给他们的钓鱼邮件是真实的。Outlook 中的地址簿能够显示来自国际化域名(IDNs)的联系信息,但不能确保这些信息是准确的。IDNs 包括来自其他文字的字母,如西里尔字母,这些字母在外观上与拉丁字母相似。

通过相似字母欺骗用户,能够让用户相信这些邮件来自于真正的联系人。这个漏洞是由“Dobby1Kenobi”发现的。

  • 我注册了一个看起来像我自己组织的电子邮件地址,并给自己发了一封测试邮件,以区分邮件中的哪些因素突出了可疑之处。
  • 这意味着如果一个公司的域名是'somecompany[.]com',一个注册了诸如'ѕ omecompany[.]com'(xn--omecompany-l2i[.]com)等国际域名的攻击者可以利用这个漏洞,向'somecompany.com'内使用Microsoft Outlook for Windows的员工发送有说服力的钓鱼邮件。
  • 我的机构域名和钓鱼域名的不同之处在于,域名的开头有一个西里尔字母"s"。

微软表示:

我们已经审查了你的案例,不过在这个案例中们决定不会在当前版本中修复这个漏洞,并关闭这个案例。在这种情况下,虽然可能发生欺骗行为,但如果没有数字签名,发件人的身份是不可信的。所需的变化很可能会导致误报和其他方面的问题。

然而,看起来微软事实上已经提前修复了它。根据Manzotti的说法,Outlook 16.0.14228.20216版本不再有这个漏洞。我们建议用户将Outlook更新到最新版本,并谨防类似的钓鱼诈骗。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2023-03-09 07:56:08

2021-03-27 09:47:02

漏洞安全Cisco Jabbe

2010-07-13 21:23:32

软件安全安全漏洞

2011-08-30 16:11:03

2015-11-11 17:20:48

2021-06-21 05:19:43

Peloton Bik安全漏洞

2020-07-27 19:23:03

安全漏洞数据

2017-12-19 10:15:14

2014-11-04 10:23:14

2019-02-21 10:11:49

2015-08-26 10:14:29

2015-02-06 09:20:33

2011-11-10 16:59:26

当当网安全漏洞用户资料

2023-01-31 11:33:36

2009-02-03 09:01:40

2014-07-10 10:19:47

Adobe

2021-09-30 16:33:16

Apple Pay漏洞攻击者

2010-12-13 11:19:02

2009-12-04 19:14:50

2009-09-17 12:51:04

点赞
收藏

51CTO技术栈公众号