Javított zero-click
A Microsoft májusi Patch Tuesday frissítései között javította a CVE-2026-40361 azonosítójú kritikus Outlook sérülékenységet, amely egy zero-click távoli kódfuttatási hibát tesz lehetővé vállalati környezetekben. A sérülékenység különösen veszélyes, mert az exploit már az e-mail előnézeti megjelenítésekor aktiválódhat, így a felhasználónak nem kell linkre kattintania vagy mellékletet megnyitnia.
A hibát Haifei Li kutató fedezte fel, aki szerint a sérülékenység technikailag hasonlít a 2015-ös BadWinmail Outlook exploitcsaládhoz. A probléma egy use-after-free memóriahibára vezethető vissza az Outlook és Word közös renderelő komponenseiben. Sikeres kihasználás esetén a támadó távoli kódfuttatást érhet el a célrendszeren, ami különösen veszélyes Exchange-alapú vállalati környezetekben.
A Microsoft a sérülékenységet Exploitation More Likely besorolással látta el, ami arra utal, hogy rövid időn belül működő exploitok megjelenése várható. Bár jelenleg csak proof-of-concept demonstráció ismert, a kutatók szerint a támadási lánc jól illeszkedik az APT- és spear-phishing műveletekhez. Ideiglenes mitigációként az Outlook plain text módjának használata csökkentheti a kockázatot, de a Microsoft elsődlegesen a sürgős patch-telepítést javasolja.
