微软Android版Outlook XSS漏洞
发布时间 2019-06-22
背景描述
微软发布Android版Outlook安全更新,修复一个存储型XSS漏洞(CVE-2019-1105 )。远程攻击者可通过发送恶意电子邮件触发该漏洞,从而在目标设备上执行恶意的应用内客户端代码。
漏洞列表
漏洞等级: 中危
CVSS评分: 暂无
影响范围: Outlook for Android 3.0.88之前的版本
漏洞详情
根据微软发布的安全公告,Outlook for Android 3.0.88之前的版本存在一个存储型XSS漏洞(CVE-2019-1105)。该漏洞与APP解析传入电子邮件的方式有关,经过身份验证的攻击者可通过向目标发送恶意电子邮件来利用此漏洞。成功利用此漏洞的攻击者可能会对受影响的系统执行跨站脚本攻击,并在当前用户的安全上下文中运行脚本。此安全更新通过更正Outlook for Android解析特定电子邮件的方式来修复该漏洞。
修复建议
参考链接
https://thehackernews.com/2019/06/outlook-app-android.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1105