Microsoft Outlook para Android vulnerável a ataques XSS. Um bug de spoofing (CVE-2019-1105) pode abrir a porta para uma cadeia de ataque de email.
Existe uma vulnerabilidade de spoofing na maneira como o Microsoft Outlook para software Android analisa mensagens de email. Um invasor autenticado pode explorar a vulnerabilidade enviando uma mensagem de email especialmente criada para uma vítima.
A atualização de segurança elimina a vulnerabilidade, corrigindo como o Outlook para Android analisa mensagens de email criadas.
A Microsoft não identificou nenhum fator de mitigação para essa vulnerabilidade. A recomendação é atualizar imediatamente o aplicativo!
A Microsoft disse que o CVE-2019-1105 , classificado como “importante“, é uma vulnerabilidade de falsificação existente na maneira como o Microsoft Outlook para Android analisa mensagens de e-mail especificamente criadas.
“Um invasor autenticado pode explorar a vulnerabilidade enviando uma mensagem de e-mail especialmente criada para a vítima“, segundo o comunicado da Microsoft na quinta-feira . “O invasor que explorou com êxito essa vulnerabilidade pode executar ataques de script entre sites nos sistemas afetados e executar scripts no contexto de segurança do usuário atual.”
No site da F5 Networks, o pesquisador Bryan Appleby , Sênior R&D Manager e contribuidor da F5 Labs, explica como descobriu o bug e apresenta mais detalhes sobre sua descoberta.
Ataque XSS
Ataques XSS (XSS é a abreviação comumente utilizada para ataques do tipo Cross Site Scripts) permitem que scripts maliciosos sejam injetados em sites de outra forma benignos e confiáveis. Segundo o OWASP , “os ataques XSS ocorrem quando um invasor usa um aplicativo da Web para enviar código malicioso, geralmente na forma de um script do lado do navegador, para um usuário final diferente. As falhas que permitem que esses ataques sejam bem-sucedidos são bastante difundidas e ocorrem em qualquer lugar em que um aplicativo da Web use a entrada de um usuário para uma saída gerada sem validá-lo ou codificá-lo ”.
Em um caso típico envolvendo e-mail, um invasor pode enviar um e-mail ao alvo com um link contendo JavaScript malicioso, por exemplo.
“Se a vítima clicar no link, a solicitação de HTTP é iniciada a partir do navegador da vítima e enviada para o aplicativo da web vulnerável”, de acordo com um artigo da Veracode sobre o XSS. “O JavaScript malicioso é então refletido de volta para o navegador da vítima, onde é executado no contexto da sessão do usuário vítima.”
A atualização de segurança da Microsoft resolve a vulnerabilidade, garantindo que o Outlook para Android agora analise corretamente as mensagens de e-mail criadas, acrescentou. Os usuários devem atualizar seus aplicativos o mais rápido possível, recomenda os especialistas.
Erros do Outlook não são incomuns. No ano passado, foi encontrada uma vulnerabilidade ( CVE-2018-0950 ) no Microsoft Outlook que permitiria que hackers roubassem a senha do Windows de um usuário apenas fazendo com que o alvo visualizasse um email com um anexo Rich Text Format (RTF) contendo um objeto OLE hospedado remotamente.
Fonte: ThreatPost & Veracode & Microsoft & F5 Networks
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Resgates de ransomwares movimentam o crime, quem não paga gasta milhões para recuperar
- Milhões de servidores de e-mail Linux em risco
- Milhões de PCs Dell Windows precisam de patches
- Oportunidade para Analista de SI PLENO – SP e Rio
- O que é a Web Invisível?
- Clientes do Banco Inter têm saldos zerados ou negativos
- Ladrões cibernéticos vendem Espionagem por até $1.000
- Novo ataque “RAMBleed” permite hackers roubarem dados confidenciais
- Novo golpe “rouba” WhatsApp do seu celular
- Como e porque Moro foi hackeado e o que você pode fazer para não ser
- Hackers tentaram violar dados do Relator da Lava Jato
- Segurança Cibernética e sua Carreira
Deixe sua opinião!