Redmond (USA) – Un bug trovato in Outlook Express consentirebbe ad un assalitore di intercettare i messaggi spediti dall’utente del programma ad una terza persona.
La falla, che interessa tutte le versioni di Outlook Express (OE) a partire dalla 5.5 SP1, potrebbe dunque mettere a repentaglio la privacy degli utenti ma, per fortuna, sembra non compromettere la sicurezza del sistema.
Secondo quanto riportato dagli scopritori del bug, i russi della Security.NNOV, il problema riguarda un’opzione che in OE viene attivata di default: l’aggiunta automatica dei destinatari dei messaggi nella rubrica. Questa stessa funzione è quella che consente altresì il completamente automatico degli indirizzi: basta scrivere Mario e Outlook Express saprà che si tratta, ad esempio, di mario@pippo.com.
Manipolando il campo “From” e “Reply To:” della mail, e compilandolo ad esempio come dimostrato sul bollettino di sicurezza di Security.NNOV, è possibile per un assalitore dirottare verso una propria mailbox tutte le e-mail che il proprietario del sistema manda ad una determinata persona.
Per il momento non c’è ancora soluzione al problema e l’unico modo per non incorrere in eventuali attacchi del genere è quello di disabilitare l’aggiunta automatica dei destinatari in rubrica o controllare molto spesso che non vi compaiano “e-mail sconosciute”.
Il bug è stato scoperto da Security.NNOV lo scorso dicembre. Ed è stato segnalato a Microsoft, secondo quanto affermato dagli esperti russi, lo scorso marzo.