Microsoft आउटलुक दुनिया में सबसे लोकप्रिय ईमेल प्लेटफार्मों में से एक है। मैं व्यक्तिगत रूप से काम से संबंधित और व्यक्तिगत कार्यों के लिए अपने आउटलुक ईमेल पते पर भरोसा करता हूं।

दुर्भाग्य से, आउटलुक उतना सुरक्षित नहीं हो सकता है जितना हम उपयोगकर्ता सोचना चाहेंगे। कार्नेगी मेलन सॉफ्टवेयर इंजीनियरिंग इंस्टीट्यूट द्वारा प्रकाशित एक रिपोर्ट के अनुसार, आउटलुक एक सुरक्षा बग के साथ आता है जो पासवर्ड हैश लीक को ट्रिगर कर सकता है जब उपयोगकर्ता रिच टेक्स्ट फॉर्मेट के ईमेल का पूर्वावलोकन करते हैं जिसमें दूरस्थ रूप से होस्ट किए गए OLE ऑब्जेक्ट शामिल होते हैं।

अपना आउटलुक पासवर्ड देखें

यह सुरक्षा भेद्यता मौजूद है क्योंकि Redmond विशाल दूरस्थ SMB सर्वर से आइटम लोड करते समय सख्त सामग्री सत्यापन और प्रतिबंधों का उपयोग नहीं करता है। दूसरी ओर, वेब-होस्टेड कंटेंट एक्सेस करने पर उसी भेद्यता का फायदा नहीं उठाया जा सकता है क्योंकि इस प्रकार की सामग्री से निपटने के दौरान Microsoft बहुत सख्त प्रतिबंध लागू करता है।

आउटलुक उपयोगकर्ताओं के आईपी पते की सुरक्षा के लिए ईमेल में वेब-होस्ट की गई छवियों को लोड नहीं करता है। हालाँकि, जब उपयोगकर्ता दूरस्थ SMB सर्वर से लोड किए गए OLE ऑब्जेक्ट्स में RTF ईमेल संदेशों का उपयोग करते हैं, तो Outlook संबंधित छवियों को लोड करता है।

यह लीक की एक श्रृंखला की ओर जाता है जिसमें आईपी पता, डोमेन नाम और रिपोर्ट के अनुसार अधिक शामिल हैं:

Outlook वेब बग की गोपनीयता के जोखिम के कारण दूरस्थ वेब सामग्री को ब्लॉक करता है। लेकिन एक समृद्ध पाठ ईमेल के साथ, OLE ऑब्जेक्ट बिना किसी उपयोगकर्ता सहभागिता के भरी हुई है। यहां हम देख सकते हैं कि SMB कनेक्शन से स्वचालित रूप से बातचीत की जा रही है। इस वार्ता को ट्रिगर करने वाली एकमात्र कार्रवाई आउटलुक एक ईमेल का पूर्वावलोकन कर रही है जिसे इसे भेजा गया है। मैं देख सकता हूं कि निम्नलिखित चीजें लीक हो रही हैं: आईपी पता, डोमेन नाम, उपयोगकर्ता नाम, होस्ट नाम, एसएमबी सत्र कुंजी। एक अमीर पाठ ईमेल संदेशों में एक दूरस्थ OLE ऑब्जेक्ट स्टेरॉयड पर एक वेब बग की तरह काम करता है!