Разработчики Microsoft разместили в магазине Google Play версию 3.0.88 приложения Outlook. В ней закрыта уязвимость CVE-2019-1105, позволявшая злоумышленнику выполнять сторонний код с привилегиями текущего пользователя.

Технические детали уязвимости пока не раскрываются, однако для успешной атаки киберпреступнику достаточно отправить жертве электронное письмо, составленное особым образом. Эта манипуляция открывает ему возможность межсайтового скриптинга.

Microsoft отмечает, что баг обнаружили независимо друг от друга несколько ИБ-исследователей. Согласно посвященному уязвимости бюллетеню, производителю не известно о случаях ее эксплуатации в дикой природе. Однако пользователей призывают установить обновленную версию Android-клиента как можно скорее.

В апреле этого года разработчики Microsoft исправили годовалую ошибку CVE-2018-0950 в Outlook, позволявшую атакующему узнать хеш пароля, имя домена, хоста и учетной записи Windows, а также IP-адрес жертвы. Более того, при совместной эксплуатации с багом CVE-2017-0016 злоумышленник мог вызвать на компьютере жертвы «синий экран смерти».

Ранее Microsoft пострадала от утечки данных из сервисов Outlook, MSN и Hotmail, произошедшей из-за взлома ее контрагента. Злоумышленники сохраняли доступ к спискам папок в почтовых ящиках, темам писем их владельцев и адресам корреспондентов в течение трех месяцев.

Категории: Главное, Кибероборона, Уязвимости