Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Positive Technologies признала трендовой уязвимость в веб-версии Outlook

Дата публикации: 13-07-2026 09:07:00

Эксперты Positive Technologies отнесли к трендовой уязвимость в Outlook Web Access (OWA), позволяющую злоумышленнику красть конфиденциальные...

Основное содержимое страницы с новостью.

Разделы

13 Июля 2026 12:07 13 Июл 2026 12:07 |

Эксперты Positive Technologies отнесли к трендовой уязвимость в Outlook Web Access (OWA), позволяющую злоумышленнику красть конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange. Об этом CNews сообщили представители Positive Technologies.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Недостаток безопасности PT-2026-40978 (CVE-2026-42897) связан с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access и позволяет злоумышленнику выполнить вредоносный JavaScript-код в браузере.

Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его в OWA. В результате злоумышленник может получить контроль над почтовым ящиком, что позволит ему похищать конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.

Чтобы защититься, необходимо установить обновление безопасности, которое представлено на официальных страницах Microsoft. Кроме того, вендор рекомендует оставить введенные ранее компенсирующие меры. Серверы Exchange 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).

Другие материалы рубрики

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Эксперты UserGate uFactor: новая уязвимость в Microsoft Exchange позволяет хакерам читать локальные файлы сервера-2726-06-2026
2Эксперты: хакеры использовали программу Microsoft Outlook при взломе госучреждений Европы0027-08-2018
3АНБ утверждает, что у российских хакеров есть доступ к защищенным данным на базе VMware0007-12-2020
4Нетайные переписки: «Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail0730-06-2026
5В РФ в 2025 году нашли девять жертв "клавиатурного шпиона" в Microsoft Exchange0011-06-2025
6"Ъ": банки и энергетические компании России подверглись новой волне кибератак0018-02-2020
7 Microsoft Confirms Windows Defender Flaw That Could Give Attackers Full SYSTEM Access 0804-07-2026
8Хакеры взламывают почту Gmail без доступа к паролю-2702-07-2026
9Хакеры атаковали несколько интернет-компаний с помощью уязвимостей реестра Роскомнадзора0014-03-2019
10Progress urges ShareFile admins to shut down servers over “credible” threat-2710-07-2026

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 5. Источник: www.cnews.ru.