Seis meses después de ser identificada
la vulnerabilidad CVE-2019-1105, Microsoft ha lanzado una versión actualizada
de Outlook for Android, aplicación de correo electrónico usada actualmente por
más de 100 millones de usuarios.
Por lo tanto, las versiones anteriores
a la 3.0.88 para Android siguen manteniendo esta vulnerabilidad de cross-site
scripting (XSS) anunciada en enero de 2019, que permitiría a un tercero
inyectar código JavaScript o similar aprovechando la forma en que Outlook
analiza los mensajes de correo electrónico entrantes. Para ello, el atacante
remoto podría lograr la ejecución de código en la aplicación del dispositivo
desde el lado del cliente con el envío de correos electrónicos que tuviesen un
formato concreto.
«The attacker who successfully
exploited this vulnerability could then perform cross-site scripting attacks on
the affected systems and run scripts in the security context of the current
user.»
Según Microsoft, esta vulnerabilidad
que podría ser aprovechada para realizar ataques de suplantación de identidad,
fue convenientemente informada de manera responsable por múltiples
investigadores de seguridad de manera independiente, incluyendo a Bryan Appleby
de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y
Gaurav Kumar. Además, han declarado de que no les consta ningún ataque
relacionado con la CVE-2019-1105, aunque se recomienda actualizar lo antes
posible la aplicación Outlook desde Google Play Store en caso de que no se haya
producido aún la actualización automática.
Más información:
- Noticia
original en thehackernews.com https://thehackernews.com/2019/06/outlook-app-android.html
- PoC
en the hackernews.com https://thehackernews.com/2019/06/microsoft-outlook-vulnerability.html
Fuente: Hispasec