آسیبپذیری CVE-۲۰۱۹-۱۱۰۵ در اوتلوک اندروید برطرف شد.
منبع : مرکز مدیریت راهبردی افتا
آسیبپذیری CVE-۲۰۱۹-۱۱۰۵ در اوتلوک اندروید برطرف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت اخیرا یک آسیبپذیری مهم را با شناسه CVE-۲۰۱۹-۱۱۰۵ در برنامه Outlook در سیستمعامل اندروید رفع کردهاست که بهطور بالقوه بیش از ۱۰۰ میلیون کاربر را تحتتاثیر قرار میدهد. آسیبپذیری یک نقص تزریق اسکریپت از طریق وبگاه (XSS) است و در نحوه پردازش پیامهای ایمیل ورودی وجود دارد.
یک مهاجم احرازهویت نشده میتواند با ارسال یک پیام ایمیل دستکاری شده از این نقص بهرهبرداری کند. پس از سوءاستفاده موفق از آسیبپذیری، مهاجم حمله XSS روی دستگاه آسیبپذیر انجام میدهد و میتواند اسکریپت دلخواه اجرا کند.
این آسیبپذیری با عنوان یک نقص شنود و بهطور مجزا توسط پژوهشگران امنیتی مختلف گزارش شدهاست. یکی از پژوهشگران امنیتی بهتازگی جزییات بیشتری درباره این آسیبپذیری به همراه کد اثبات مفهومی (PoC) آن منتشر کردهاست. در این کد با قرار دادن یک iframe در ایمیل از آسیبپذیری بهرهبرداری میشود. در صورتی که مهاجم از این طریق بتواند کد جاوااسکریپت در یک ایمیل اجرا کند، میتواند اقدامات مخربی انجام دهد.
کارشناسان به این نکته اشاره کردند که این نقص بر نحوه کارکرد پردازش موجودیتهای HTML در پیامهای ایمیل تاثیر میگذارد. بهطور معمول یک اسکریپت جاوااسکریپت در یک iframe فقط میتواند به محتوای خود iframe دسترسی داشتهباشد، اما پژوهشگران در برنامه Outlook اندروید توانستند از طریق کد جاوااسکریپت iframe دسترسی کامل به کوکیها، توکن و سایر اطلاعات پیدا کنند. درنهایت این آسیبپذیری به مهاجم اجازه میدهد تا از برنامه Outlook داده به سرقت ببرد.
آسیبپذیری CVE-۲۰۱۹-۱۱۰۵ در بهروزرسانی اخیر برنامه Outlook مایکروسافت رفع شدهاست.