Microsoft Outlook für Android Bug öffnet die Tür zu XSS

Anzeige
Möbelier +++ Fashion +++ Angebote

Die erfolgreiche Ausnutzung ermöglicht es Angreifern, potenziell sensible Informationen zu stehlen, das Aussehen der Webseite zu verändern und Phishing-, Spoofing- und Drive-by-Download-Angriffe durchzuführen.

Benutzer der App Microsoft Outlook für Android sollten ihre Apps aktualisieren, um eine Reihe von Angriffen zu vermeiden.

Der Fehler (CVE-2019-1460) würde es einem Angreifer ermöglichen, Cross-Site-Scripting (XSS)-Angriffe auf die betroffenen Systeme durchzuführen und Skripte im Sicherheitskontext des aktuellen Benutzers auszuführen, so die Microsoft-Beratung zu diesem Fehler. XSS tritt auf, wenn böswillige Parteien clientseitige Skripte in Webseiten einführen, die den Browser des ahnungslosen Benutzers dazu bringen, zu glauben, dass das Skript aus einer vertrauenswürdigen Quelle stammt.

In diesem Fall sagte der Computerriese, dass das Problem in der Art und Weise besteht, wie Microsoft Outlook für Android Software speziell gestaltete E-Mail-Nachrichten analysiert - ein Angreifer könnte also die Schwachstelle ausnutzen, indem er genau eine solche E-Mail sendet. Die tschechische Firma Cybersecurity Help sagte diese Woche in einem Posting, dass es sich bei dem Problem um eine "unsachgemäße Neutralisierung der Eingaben bei der Webseitenerstellung" handele, die aufgrund einer unzureichenden Bereinigung der von den Benutzern bereitgestellten Daten bestehe.

Der Gegner müsse gegenüber demselben Netzwerk wie das potenzielle Opfer authentifiziert werden, um einen Angriff durchzuführen, sagte Microsoft.

Einem Bericht von Symantec zufolge kann ein Angreifer dieses Problem ausnutzen, um Spoofing-Angriffe durchzuführen, während Cybersecurity Help hinzufügte, dass ein Angreifer "potenziell sensible Informationen stehlen, das Aussehen der Webseite verändern, Phishing und Drive-by-Download-Angriffe durchführen könnte".

Benutzer sollten sicherstellen, dass sie über die neueste Version der Anwendung verfügen, und sie manuell aktualisieren, wenn sie keine automatische Aktualisierung erhalten haben.

Neben der Installation dieses Updates hat Symantec auch darauf hingewiesen, dass die Software auch als nicht privilegierter Benutzer mit minimalen Zugriffsrechten ausgeführt werden kann.

Dem Forscher Rafael Pablos wurde das Verdienst zugeschrieben, den Fehler gefunden zu haben, den Microsoft als "wichtig" in Bezug auf den Schweregrad einstuft. Er wird auf der CVSS v.3-Schwachstellenbewertungsskala mit 5,6 von 10 Schweregraden eingestuft.