Microsoft Outlook para Android vulnerável a ataques XSS

Microsoft Outlook para Android vulnerável a ataques XSS. Um bug de spoofing (CVE-2019-1105) pode abrir a porta para uma cadeia de ataque de email.

Existe uma vulnerabilidade de spoofing na maneira como o Microsoft Outlook para software Android analisa mensagens de email. Um invasor autenticado pode explorar a vulnerabilidade enviando uma mensagem de email especialmente criada para uma vítima.

A atualização de segurança elimina a vulnerabilidade, corrigindo como o Outlook para Android analisa mensagens de email criadas. 

A Microsoft não identificou nenhum fator  de mitigação para essa vulnerabilidade. A recomendação é atualizar imediatamente o aplicativo!

A Microsoft disse que o CVE-2019-1105 , classificado como “importante“, é uma vulnerabilidade de falsificação existente na maneira como o Microsoft Outlook para Android analisa mensagens de e-mail especificamente criadas.

Um invasor autenticado pode explorar a vulnerabilidade enviando uma mensagem de e-mail especialmente criada para a vítima“, segundo o comunicado da Microsoft na quinta-feira . O invasor que explorou com êxito essa vulnerabilidade pode executar ataques de script entre sites nos sistemas afetados e executar scripts no contexto de segurança do usuário atual.

No site da F5 Networks, o pesquisador Bryan Appleby , Sênior R&D Manager e contribuidor da F5 Labs, explica como descobriu o bug e apresenta mais detalhes sobre sua descoberta. 

Ataque XSS

Ataques XSS (XSS é a abreviação comumente utilizada para ataques do tipo Cross Site Scripts) permitem que scripts maliciosos sejam injetados em sites de outra forma benignos e confiáveis. Segundo o OWASP , “os ataques XSS ocorrem quando um invasor usa um aplicativo da Web para enviar código malicioso, geralmente na forma de um script do lado do navegador, para um usuário final diferente. As falhas que permitem que esses ataques sejam bem-sucedidos são bastante difundidas e ocorrem em qualquer lugar em que um aplicativo da Web use a entrada de um usuário para uma saída gerada sem validá-lo ou codificá-lo ”.

Em um caso típico envolvendo e-mail, um invasor pode enviar um e-mail ao alvo com um link contendo JavaScript malicioso, por exemplo.

Se a vítima clicar no link, a solicitação de HTTP é iniciada a partir do navegador da vítima e enviada para o aplicativo da web vulnerável”, de acordo com um artigo da Veracode sobre o XSS. “O JavaScript malicioso é então refletido de volta para o navegador da vítima, onde é executado no contexto da sessão do usuário vítima.

A atualização de segurança da Microsoft resolve a vulnerabilidade, garantindo que o Outlook para Android agora analise corretamente as mensagens de e-mail criadas, acrescentou. Os usuários devem atualizar seus aplicativos o mais rápido possível, recomenda os especialistas.

Erros do Outlook não são incomuns. No ano passado, foi encontrada uma vulnerabilidade ( CVE-2018-0950 ) no Microsoft Outlook que permitiria que hackers roubassem a senha do Windows de um usuário apenas fazendo com que o alvo visualizasse um email com um anexo Rich Text Format (RTF) contendo um objeto OLE hospedado remotamente. 

Fonte: ThreatPost & Veracode & Microsoft & F5 Networks

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Broadcom em negociações para comprar Symantec
  2. Quais são os tipos de arquivo mais perigosos?

Deixe sua opinião!