微软Android版Outlook XSS缝隙

颁布功夫 2019-06-22

布景描述

微软颁布Android版Outlook安全更新，建复一个存储型XSS缝隙（CVE-2019-1105 ）。远程攻击者可通过发送恶意电子邮件触发该缝隙，从而在指标设备上执行恶意的利用内客户端代码。

缝隙列表

CVE ID ： CVE-2019-1105
缝隙等级：中危
CVSS评分：暂无
影响领域： Outlook for Android 3.0.88之前的版本

缝隙详情

凭据微软颁布的安全布告，Outlook for Android 3.0.88之前的版本存在一个存储型XSS缝隙（CVE-2019-1105）。该缝隙与APP解析传入电子邮件的方式有关，经过身份验证的攻击者可通过向指标发送恶意电子邮件来利用此缝隙。成功利用此缝隙的攻击者可能会对受影响的系统执行跨站剧本攻击，并在当前用户的安全高低文中运行剧本。此安全更新通过更正Outlook for Android解析特定电子邮件的方式来建复该缝隙。

微软称该缝隙是由多个安全钻研人员独立汇报的，并且可能会导致糊弄类型的攻击。此缝隙的具体技术细节或概想验证尚未公开颁布。目前微软尚未发现与此缝隙有关的任何攻击事务。

建复建议

若是用户的Android设备尚未自动更新，建议用户从Google Play商店手动更新Outlook APP。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105
https://thehackernews.com/2019/06/outlook-app-android.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1105

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

微软Android版Outlook XSS缝隙

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线