מיקרוסופט (Microsoft) שחררה בסוף השבוע עדכון לאפליקציית Outlook בחנות של גוגל (Google), לאחר שתיקנה פרצת אבטחה חמורה שהתגלתה בה לפני כחצי שנה.
הפרצה התגלתה בדצמבר 2018 באופן לא מתוכנן, על ידי חוקר האבטחה בראיין אפלבי מחברת אבטחת המידע האמריקאית F5 Networks. עמית לעבודה שלח לו מייל עם בקשת עזרה בקשר לקוד כלשהוא, והוא שם לב שאפליקציית אאוטלוק הציגה את הקוד בצורה לא נכונה: במקום להציג את הטקסט, היא ניסתה להריץ את הקוד. זאת בניגוד לאפליקציות אחרות ולאאוטלוק במחשב, שהציגו את הקוד כטקסט.
אפלבי החל לבדוק עד כמה האפליקציה של מיקרוסופט מאפשרת לקוד חיצוני לרוץ מתוך הודעות מייל, וגילה כי הוא יכול לגשת למידע כמו תוכן המיילים האחרים של המשתמש ואף למנגנון המאפשר לו להתחזות למשתמש מול שרתי מיקרוסופט.
אפלבי דיווח למיקרוסופט על הבאג, אך החברה לא הצליחה לשחזר אותו. רק לפני כשלושה חודשים הצליח למצוא את הסיבה וליצור הדגמה של הפרצה שצוות האבטחה של מיקרוסופט יכול היה לשכפל וכך להבין היכן הבעיה.
מיקרוסופט הבטיחה לתקן את התקלה תוך שלושה חודשים – לו”ז מקובל למדי בתעשייה – ועמדה בו בקושי, כאשר הוציאה עדכון הסותם את הפרצה בסוף השבוע. עתה מעודדת החברה את כל משתמשי אאוטלוק לאנדרואיד, שלה יותר מ-100 מיליון הורדות, לוודא כי הם מריצים גרסה חדשה יותר מ-3.0.88.
רק חבל שבגוגל סטור אין עדיין את העדכון המדובר. הם טוענים שהעלו אותו ביום שישי והיום כבר יום שני…