Эксперты Positive Technologies отнесли к трендовой уязвимость в Outlook Web Access (OWA), позволяющую злоумышленнику красть конфиденциальные...
Спецпроекты ![]()
13 Июля 2026 12:07 13 Июл 2026 12:07 |
Эксперты Positive Technologies отнесли к трендовой уязвимость в Outlook Web Access (OWA), позволяющую злоумышленнику красть конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Недостаток безопасности PT-2026-40978 (CVE-2026-42897) связан с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access и позволяет злоумышленнику выполнить вредоносный JavaScript-код в браузере.
Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его в OWA. В результате злоумышленник может получить контроль над почтовым ящиком, что позволит ему похищать конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.
Чтобы защититься, необходимо установить обновление безопасности, которое представлено на официальных страницах Microsoft. Кроме того, вендор рекомендует оставить введенные ранее компенсирующие меры. Серверы Exchange 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | онлайн заказ Плавание в бассейне Яндекс Маркет Задумывались ли вы ... | 0 | 0 | 21-02-2025 |
| 2 | Багаевская: Ночь 18 дек, Вт | 0 | 0 | 17-12-2018 |
| 3 | Багаевская: Вечер 17 дек, Пн | 0 | 0 | 17-12-2018 |
| 4 | ABC: Трамп рассматривает возможность отставки главы аппарата Белого дома | 0 | 0 | 13-11-2018 |
| 5 | Билибино: Вечер 31 окт, Ср | 0 | 0 | 30-10-2018 |
| 6 | Джемпер спицами вязаный от угла | 0 | 0 | 24-02-2020 |
| 7 | Потепление до 25 градусов придет в Москву 7-8 августа | 0 | 0 | 05-08-2019 |
| 8 | How To Save A Life Remastered The Fray.m 4a | 0 | 0 | 21-02-2025 |
| 9 | ВАШ ДЕНЕЖНЫЙ КОД КАК РАССЧИТАТЬ ДЕНЕЖНЫЙ КОД ПО ДАТЕ РОЖДЕНИЯ ... | 0 | 0 | 21-02-2025 |
| 10 | Faktasjekk: Det er ikke flertall mot vindmøller i Norge | 0 | 0 | 16-01-2020 |