Microsoft Outlook是世界上最受欢迎的电子邮件平台之一。 我个人依靠我的Outlook电子邮件地址来完成与工作有关的任务以及个人任务。

不幸的是，Outlook可能没有我们用户想的那样安全。 根据卡耐基梅隆软件工程学院发布的报告，Outlook带有一个安全漏洞，当用户预览包含远程托管OLE对象的RTF格式电子邮件时，该漏洞可能触发密码哈希泄漏。

注意您的Outlook密码

之所以存在此安全漏洞，是因为Redmond巨人从远程SMB服务器加载项目时并未使用严格的内容验证和限制。 另一方面，在访问Web托管的内容时无法利用相同的漏洞，因为Microsoft在处理此类内容时施加了更为严格的限制。

Outlook不会在电子邮件中加载网络托管的图像，以保护用户的IP地址。 但是，当用户访问包含从远程SMB服务器加载的OLE对象的RTF电子邮件时，Outlook会加载相应的图像。

报告导致了一系列泄漏，包括IP地址，域名等等。

由于Web错误的隐私风险，Outlook阻止了远程Web内容。 但是对于富文本电子邮件，无需用户交互即可加载OLE对象。 在这里，我们可以看到正在自动协商SMB连接。 触发此协商的唯一操作是Outlook预览发送给它的电子邮件。 我可以看到泄漏了以下内容：IP地址，域名，用户名，主机名，SMB会话密钥。 RTF电子邮件中的远程OLE对象的功能类似于类固醇的Web错误！