Derek Abdine, direttore dei Rapid7 Labs, ha annunciato di aver scoperto una vulnerabilità nell’applicazione Nine, un client di posta alternativo a Microsoft Outlook recentemente aggiornatosi alla versione 3.0. A causa di un baco che impediva la validazione del protocollo SSL, le credenziali di accesso a Microsoft Outlook venivano trasmesse attraverso connessioni non sicure.
Anche se lo sviluppatore è stato informato nello scorso mese di agosto e nei giorni scorsi ha provveduto a rilasciare una patch confermando la vulnerabilità del tipo “man in the middle” che potrebbe essere sfruttata soprattutto nel caso di accesso alla rete da hotspot pubblici. UN eventuale attaccante potrebbe sfruttare la vulnerabilità di Nine per intercettare le credenziali di Microsoft Exchange, le email con i loro allegati, il contenuto del calendario e delle attività.
Mentre per gli eventuali dati trafugati non c’è alcuna soluzione, gli utilizzatori di Nine dovrebbero quanto meno aggiornare l’applicazione, cambiare la password di accesso, informare dell’accaduto i loro amministratori di rete per verificare eventuali accessi sospetti o non autorizzati.