Outlook App 安卓版被曝详情不明的 XXS 漏洞，影响1亿多用户

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

微软发布“Outlook for Android”更新版本，修复了一个重要的漏洞，影响超过1亿名用户。

安全公告指出，安卓版Outlook app 3.0.88之前的版本中含有一个跨站点脚本漏洞 (CVE-2019-1105)，存在于该 app 解析收到的邮件信息方式中。

攻击者可利用该漏洞，只要向目标设备发送含有特殊构造信息的邮件就能在设备上执行恶意的 app 内客户端代码，“攻击者成功利用该漏洞后能在受影响系统上执行跨站点脚本攻击并在当前用户的安全上下文中运行脚本。”

微软指出，该漏洞是由多名安全研究人员独立报告的，可导致欺骗攻击。

目前该漏洞的技术详情或 POC 并未公开，微软表示并未发现利用该漏洞的攻击活动。

如果设备尚未自动更新，则建议用户通过谷歌 Play Store 手动更新 Outlook app。

原文链接

https://thehackernews.com/2019/06/outlook-app-android.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。