Используя эту дыру, злоумышленник может мошенническим путем записать в адресную книгу Outlook Express на компьютере жертвы свой e-mail и впоследствии похищать все сообщения, отсылаемые пользователем по истинным адресам. Связавшись с центром компьютерной безопасности Security.nnov, специалисты которого и обнаружили данную проблему, CNews попросил их прокомментировать данную ситуацию.

«Проблема всплыла достаточно случайно еще в конце прошлого кода», - говорит «ЗАРАЗА», лидер группы Security.nnov. «Особого значения ей не придали. В апреле информацию передали в Microsoft. Microsoft ей тоже особого значения не придал. Поэтому еще через 2 месяца (вполне достаточный срок) в Bugtraq (список рассылки по вопросам безопасности) опубликовали текст».

Центр безопасности Microsoft, которому было сообщено об этой проблеме, счел, что ее серьезность не тянет на высокий уровень и не представляется возможным исправить ее до выхода очередного пакета дополнений (service pack) к IE 5.5. Сам «ЗАРАЗА», говоря, что проблема не очень серьезная, а, кроме того, может существовать и в других почтовых системах, тем не менее оценивает ее как потенциально способную нанести ущерб большому количеству пользователей.

«Если интересует серьезность проблемы», - говорит он, - «могу посоветовать провести эксперимент над кем-нибудь из коллег:

1. В настройках Outlook Express вместо своего имени "Ivan Ivanov" укажите адрес e-mail, например жены вашего коллеги. Напишите коллеге душевное письмо с просьбой немедленно ответить. Ответ получите вы.

2. Теперь попросите его написать письмо на адрес жены. Если он пишет письма не используя адресную книгу (т.е. помнит адрес жены наизусть и вписывает прямо его), то письмо получите вы.

3. Сообщите об этом коллеге. Оцените его реакцию по 5-ти бальной системе и не забудьте вернуть настройки обратно».

В связи с тем, что Microsoft в данный момент не намерен пытаться исправить данную ситуацию, Security.nnov рекомендует простой способ - отключить в Outlook Express в меню Options возможность автоматической записи в адресную книгу новых адресатов. Следует добавить, что, по словам 3APA3Ы, описанной проблемы не существует в Microsoft Outlook 98 или Outlook 2000.

Оценивая другие программные продукты Microsoft с точки зрения безопасности, «ЗАРАЗА» говорит: «Проблемы в Internet Explorer - есть. Связаны они со слишком большой функциональностью, слишком много всего можно делать. Если Netscape, например, когда-нибудь будет поддерживать все то, что позволяет делать IE, дыр там будет не меньше». Следует добавить, что одновременно с информацией о проблеме в Outlook Express, Security.NNOV опубликовали и сведения о проблеме в Netscape Messanger, которая позволяет получать некоторые данные о пользователе.