آسیب‌پذیری در اوت‌لوک برطرف شد
کد مطلب: 15493
تاریخ انتشار : سه شنبه ۴ تير ۱۳۹۸ ساعت ۱۵:۰۰
 
آسیب‌پذیری CVE-۲۰۱۹-۱۱۰۵ در اوت‌لوک اندروید برطرف شد.
آسیب‌پذیری در اوت‌لوک برطرف شد
 
 
Share/Save/Bookmark
 آسیب‌پذیری  CVE-۲۰۱۹-۱۱۰۵ در اوت‌لوک اندروید برطرف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت اخیرا یک آسیب‌پذیری مهم را با شناسه CVE-۲۰۱۹-۱۱۰۵ در برنامه Outlook در سیستم‌عامل اندروید رفع کرده‌است که به‌طور بالقوه بیش از ۱۰۰ میلیون کاربر را تحت‌تاثیر قرار می‌دهد. آسیب‌پذیری یک نقص تزریق اسکریپت از طریق وب‌گاه (XSS) است و در نحوه پردازش پیام‌های ایمیل ورودی وجود دارد.

یک مهاجم احرازهویت نشده می‌تواند با ارسال یک پیام ایمیل دست‌کاری شده از این نقص بهره‌برداری کند. پس از سوء‌استفاده موفق از آسیب‌پذیری، مهاجم حمله XSS روی دستگاه آسیب‌پذیر انجام می‌دهد و می‌تواند اسکریپت دلخواه اجرا کند.

این آسیب‌پذیری با عنوان یک نقص شنود و به‌طور مجزا توسط پژوهشگران امنیتی مختلف گزارش شده‌است. یکی از پژوهشگران امنیتی به‌تازگی جزییات بیشتری درباره این آسیب‌پذیری به همراه کد اثبات مفهومی (PoC) آن منتشر کرده‌است. در این کد با قرار دادن یک iframe در ایمیل از آسیب‌پذیری بهره‌برداری می‌شود. در صورتی که مهاجم از این طریق بتواند کد جاوااسکریپت در یک ایمیل اجرا کند، می‌تواند اقدامات مخربی انجام دهد.

کارشناسان به این نکته اشاره کردند که این نقص بر نحوه کارکرد پردازش موجودیت‌های HTML در پیام‌های ایمیل تاثیر می‌گذارد. به‌طور معمول یک اسکریپت جاوااسکریپت در یک iframe فقط می‌تواند به محتوای خود iframe دسترسی داشته‌باشد، اما پژوهشگران در برنامه Outlook اندروید توانستند از طریق کد جاوااسکریپت iframe دسترسی کامل به کوکی‌ها، توکن و سایر اطلاعات پیدا کنند. درنهایت این آسیب‌پذیری به مهاجم اجازه می‌دهد تا از برنامه Outlook داده به سرقت ببرد.

آسیب‌پذیری CVE-۲۰۱۹-۱۱۰۵ در به‌روزرسانی اخیر برنامه Outlook مایکروسافت رفع شده‌است.
مرجع : مرکز مدیریت راهبردی افتا