Android版Outlook有臭蟲 一封電郵打開保安缺口

Microsoft 近日在 Microsoft Outlook for Android 發現 CVE-2019-1105 臭蟲,該漏洞被評為「重要」級別,容許黑客發動 cross-site scripting (XXS) 攻擊,而且只需要一封特製的電郵,就能打開保安缺口。

一封電郵足以致命
根據 Microsoft 的描述,這次 Microsoft Outlook for Android 的安全漏洞的危險之處,在於攻擊者只需要發送一封專門設計的電郵,就能通過漏洞在受影響系統上發動 XXS 攻擊,在該用戶的安全環境中執行指令。透過攻擊,黑客可以取得更高的權限,用來盜取用戶資料或者發動 DDoS 攻擊。最容易的方法是攻擊者發送一封含有惡意 JavaScript 連結的電郵。

當用戶點擊連結,HTTP 要求會在受害者方的瀏覽器啟動,然後向漏洞網絡應用程式發送,然後惡意 JavaScript 會反射回到受害者的瀏覽器,執行有關的惡意內容。

XXS 攻擊容諗惡意腳本注入良性和可信賴的網站,攻擊者使用網絡應用程式向不同用戶發送惡意編碼,通常是瀏覽器方的腳本,漏洞讓攻擊者能夠不動聲色地取得成功並且廣泛散播,漏洞只要網絡應用程式的輸出產生沒有核實或加密就能成功。

盡快更新 Outlook for Android
Microsoft 的保安更新後,Outlook for Android 能夠正確分析那些專門設計的電郵訊憩,不過有關方面仍然建議用戶盡快更新他們的應用程式。其實 Outlook 存在臭蟲並不罕見,去年找到 CVE-2018-0950 漏洞容許黑客盜取用戶的 Windows 密碼,只要受害者預覽電郵中的 RTF 附件。

資料來源:Threat Post