Η Microsoft έχει επιδιορθώσει μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο Outlook που θα μπορούσε να επιτρέψει στους εισβολείς να εκτελέσουν κακόβουλο κώδικα σε ευάλωτα συστήματα.
Το ελάττωμα, που εντοπίστηκε ως CVE-2025-62562, κυκλοφόρησε στις 9 Δεκεμβρίου 2025 και απαιτεί άμεση προσοχή από τους διαχειριστές πληροφορικής και τους τελικούς χρήστες.
Η ευπάθεια προέρχεται από μια αδυναμία χρήσης μετά την ελεύθερη χρήση του Microsoft Office Outlook. Σύμφωνα με την ταξινόμηση ευπάθειας της Microsoft, αυτό το ελάττωμα βαθμολογείται ως Σημαντικό (βαθμολογία CVSS: 7,8).
Το διάνυσμα επίθεσης είναι τοπικό, που σημαίνει ότι ένας εισβολέας πρέπει να πείσει έναν χρήστη να αλληλεπιδράσει με ένα κακόβουλο email για να ενεργοποιήσει την εκμετάλλευση.
Συγκεκριμένα, ένας εισβολέας στέλνει ένα επεξεργασμένο email που εξαπατά τον χρήστη να απαντήσει, με αυτόν τον τρόπο ενεργοποίηση της εκτέλεσης κώδικα αλυσίδα.
Ευπάθεια του Microsoft Outlook
Σε αντίθεση με τα τυπικά τρωτά σημεία εκτέλεσης απομακρυσμένου κώδικα, αυτό το ελάττωμα απαιτεί τοπική αλληλεπίδραση στον υπολογιστή του θύματος.
Το παράθυρο προεπισκόπησης δεν είναι φορέας επίθεσης για αυτήν τη συγκεκριμένη ευπάθεια. Ένας εισβολέας χρειάζεται ένας χρήστης να απαντήσει με μη αυτόματο τρόπο σε ένα ειδικά διαμορφωμένο email για να εκμεταλλευτεί την αδυναμία.
Αυτή η απαίτηση αλληλεπίδρασης προσθέτει ένα επίπεδο δυσκολίας. Ωστόσο, παραμένει μια πρακτική απειλή σε σενάρια πραγματικού κόσμου όπου οι τεχνικές κοινωνικής μηχανικής θα μπορούσαν να πείσουν τους χρήστες να ανταποκριθούν.
Η ευπάθεια επηρεάζει πολλές εκδόσεις του Microsoft Office, συμπεριλαμβανομένου του Microsoft Word 2016 (τόσο 32-bit όσο και 64-bit).
| Προϊόν | Εκδόσεις που επηρεάζονται | Ενημέρωση κατάστασης |
|---|---|---|
| Microsoft Word 2016 | 32-bit & 64-bit | Διαθέσιμο (KB5002806) |
| Microsoft Office LTSC 2024 | 32-bit & 64-bit | Διαθέσιμος |
| Microsoft Office LTSC 2021 | 32-bit & 64-bit | Διαθέσιμος |
| Microsoft Office 2019 | 32-bit & 64-bit | Διαθέσιμος |
| Microsoft 365 Apps for Enterprise | 32-bit & 64-bit | Διαθέσιμος |
| Microsoft SharePoint Server 2019 | Όλες οι εκδόσεις | Διαθέσιμος |
| Microsoft SharePoint Enterprise Server 2016 | Όλες οι εκδόσεις | Διαθέσιμος |
| Microsoft Office LTSC για Mac 2024 | Mac | Δεν είναι ακόμη διαθέσιμο |
| Microsoft Office LTSC για Mac 2021 | Mac | Δεν είναι ακόμη διαθέσιμο |
Εκδόσεις Microsoft Office LTSC από το 2019 έως το 2024, Microsoft 365 Apps for Enterprise, Microsoft Office 2019 και προϊόντα Microsoft SharePoint Server.
Οι ενημερώσεις ασφαλείας είναι διαθέσιμες για τις περισσότερες εκδόσεις που επηρεάζονται, με αριθμό έκδοσης 16.0.5530.1000 για το Word 2016.
Η Microsoft έχει επιβεβαιώσει ότι οι ενημερώσεις κώδικα ασφαλείας είναι διαθέσιμες μέσω του Windows Update και του Κέντρου λήψης της Microsoft.
Ωστόσο, οι ενημερώσεις για το Microsoft Office LTSC για Mac 2021 και 2024 δεν είναι άμεσα διαθέσιμες. Θα απελευθερωθούν το συντομότερο δυνατό.
Microsoft λέει Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην εγκατάσταση των διαθέσιμων ενημερώσεων ασφαλείας σε όλες τις εκδόσεις του Microsoft Office που επηρεάζονται
Οι διαχειριστές που διαχειρίζονται πολλά συστήματα θα πρέπει να αναπτύξουν ενημερώσεις κώδικα σε εκδόσεις 32-bit και 64-bit σύμφωνα με τα πρότυπα ανάπτυξης τους.
Για συστήματα χωρίς άμεση διαθεσιμότητα ενημέρωσης κώδικα, η Microsoft συνιστά να είστε προσεκτικοί με τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου και να αποφεύγετε να απαντάτε σε ύποπτα μηνύματα.
Η κοινότητα ασφαλείας αναγνωρίζει τον Haifei Li από την EXPMON για την ανακάλυψη και την αναφορά αυτής της ευπάθειας μέσω συντονισμένης αποκάλυψης. Μέχρι τη δημοσίευση, δεν υπάρχουν στοιχεία ενεργητικής εκμετάλλευσης ή δημόσιας αποκάλυψης του κώδικα εκμετάλλευσης.
