Microsoft|[图]Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的
利用 Outlook 的一个漏洞,攻击者能够让用户误信发送给他们的钓鱼邮件是真实的 。Outlook 中的地址簿能够显示来自国际化域名(IDNs)的联系信息,但不能确保这些信息是准确的 。IDNs 包括来自其他文字的字母,如西里尔字母,这些字母在外观上与拉丁字母相似 。
文章图片
文章图片
文章图片
文章图片
【Microsoft|[图]Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的】
文章图片
文章图片
通过相似字母欺骗用户,能够让用户相信这些邮件来自于真正的联系人 。这个漏洞是由“Dobby1Kenobi”发现的 。
我注册了一个看起来像我自己组织的电子邮件地址,并给自己发了一封测试邮件,以区分邮件中的哪些因素突出了可疑之处 。微软表示:
这意味着如果一个公司的域名是'somecompany[.]com',一个注册了诸如'? omecompany[.]com'(xn--omecompany-l2i[.]com)等国际域名的攻击者可以利用这个漏洞,向'somecompany.com'内使用Microsoft Outlook for Windows的员工发送有说服力的钓鱼邮件 。
我的机构域名和钓鱼域名的不同之处在于,域名的开头有一个西里尔字母"s" 。
我们已经审查了你的案例,不过在这个案例中们决定不会在当前版本中修复这个漏洞,并关闭这个案例 。在这种情况下,虽然可能发生欺骗行为,但如果没有数字签名,发件人的身份是不可信的 。所需的变化很可能会导致误报和其他方面的问题 。
然而,看起来微软事实上已经提前修复了它 。根据Manzotti的说法,Outlook 16.0.14228.20216版本不再有这个漏洞 。我们建议用户将Outlook更新到最新版本,并谨防类似的钓鱼诈骗 。
![Microsoft|[图]Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的](http://techimg88.easyfang.com/img.php?https://static.cnbetacdn.com/thumb/article/2021/0908/36ee6aa7412cd53.jpg)
文章图片
![Microsoft|[图]Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的](http://techimg88.easyfang.com/img.php?https://static.cnbetacdn.com/thumb/article/2021/0908/723697b82cc39d1.jpg)
推荐阅读
- 功能|小米 Watch S1图赏:商务气质新系列,稳步入场不急切
- 样儿|从太空看地球新年灯光秀啥样儿?快看!绝美风云卫星图来了
- 截图|靠抄袭对标苹果?心动黄一孟指责小米新版游戏中心抄袭TapTap
- 换卡|突然宣布:被迫停止运营!
- 测试|图森未来完成全球首次无人驾驶重卡在公开道路的全无人化测试
- 科学|中阳县北街小学:体验科学魅力
- IT|新航空图像拍摄系统Microballoon:可重复使用且成本更低
- Microsoft|微软推Viva Insights插件 定时邮件可根据时区推荐发送时间
- 社交|Facebook被指试图在美政客中抹黑前雇员Frances Haugen声誉
- 技术|科技赋能创新发展