Уязвимость в Outlook для Android затрагивает более 100 млн пользователей
Баг позволяет выполнить произвольный код на атакуемом устройстве.
Компания Microsoft выпустила обновление Android-версии почтового клиента Outlook, устраняющее серьезную уязвимость, которая позволяет выполнить произвольный код на атакуемом устройстве и потенциально провести спуфинг-атаку.. Проблема (CVE-2019-1105) связана с парсингом входящих сообщений и может быть проэксплуатирована путем отправки жертве специально сформированного сообщения.
«Атакующий, успешно проэксплуатировавший уязвимость, может осуществить XSS-атаку и запустить скрипт в контексте текущего пользователя», — указывается в предупреждении Microsoft.
Баг затрагивает версии Outlook для Android до 3.0.88. В настоящее время свидетельств использования данной уязвимости в реальных атаках не выявлено.