Seis meses después de ser identificada la vulnerabilidad CVE-2019-1105, Microsoft ha lanzado una versión actualizada de Outlook for Android, aplicación de correo electrónico usada actualmente por más de 100 millones de usuarios.
Por lo tanto, las versiones anteriores a la 3.0.88 para Android siguen manteniendo esta vulnerabilidad de cross-site scripting (XSS) anunciada en enero de 2019, que permitiría a un tercero inyectar código JavaScript o similar aprovechando la forma en que Outlook analiza los mensajes de correo electrónico entrantes. Para ello, el atacante remoto podría lograr la ejecución de código en la aplicación del dispositivo desde el lado del cliente con el envío de correos electrónicos que tuviesen un formato concreto.
«The attacker who successfully exploited this vulnerability could then perform cross-site scripting attacks on the affected systems and run scripts in the security context of the current user.»
Según Microsoft, esta vulnerabilidad que podría ser aprovechada para realizar ataques de suplantación de identidad, fue convenientemente informada de manera responsable por múltiples investigadores de seguridad de manera independiente, incluyendo a Bryan Appleby de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar. Además, han declarado de que no les consta ningún ataque relacionado con la CVE-2019-1105, aunque se recomienda actualizar lo antes posible la aplicación Outlook desde Google Play Store en caso de que no se haya producido aún la actualización automática.
Más información:
Deja un comentario