微软Android版Outlook XSS漏洞

发布时间 2019-06-22




背景描述


微软发布Android版Outlook安全更新,修复一个存储型XSS漏洞(CVE-2019-1105 )。远程攻击者可通过发送恶意电子邮件触发该漏洞,从而在目标设备上执行恶意的应用内客户端代码。


漏洞列表


CVE ID  :   CVE-2019-1105
漏洞等级:   中危
CVSS评分:   暂无
影响范围:   Outlook for Android 3.0.88之前的版本

漏洞详情


根据微软发布的安全公告,Outlook for Android 3.0.88之前的版本存在一个存储型XSS漏洞(CVE-2019-1105)。该漏洞与APP解析传入电子邮件的方式有关,经过身份验证的攻击者可通过向目标发送恶意电子邮件来利用此漏洞。成功利用此漏洞的攻击者可能会对受影响的系统执行跨站脚本攻击,并在当前用户的安全上下文中运行脚本。此安全更新通过更正Outlook for Android解析特定电子邮件的方式来修复该漏洞。


微软称该漏洞是由多个安全研究人员独立报告的,并且可能会导致欺骗类型的攻击。此漏洞的具体技术细节或概念验证尚未公开发布。目前微软尚未发现与此漏洞有关的任何攻击事件。

修复建议


如果用户的Android设备尚未自动更新,建议用户从Google Play商店手动更新Outlook APP。

参考链接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105
https://thehackernews.com/2019/06/outlook-app-android.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1105