- A+
欺骗错误(CVE-2019-1105)可以打开电子邮件攻击链的大门。
微软修补了Microsoft Outlook for Android中的漏洞,这为跨站点脚本(XSS)攻击打开了大门。
该软件巨头表示, CVE-2019-1105 ,被评为“重要”,是一个欺骗性漏洞,存在于Microsoft Outlook for Android软件解析专门制作的电子邮件消息的方式中。
据微软周四的一份公告称,“经过身份验证的攻击者可以通过向受害者发送特制的电子邮件来利用此漏洞”。 “成功利用此漏洞的攻击者可能会对受影响的系统执行跨站点脚本攻击,并在当前用户的安全上下文中运行脚本。”
XSS攻击允许将恶意脚本注入其他良性和可信赖的网站。 根据OWASP ,“当攻击者使用Web应用程序将恶意代码(通常以浏览器端脚本的形式)发送给不同的最终用户时,就会发生XSS攻击。 允许这些攻击成功的缺陷非常普遍,并且发生在Web应用程序在其生成的输出中使用来自用户的输入而无需验证或编码它的任何地方。
在涉及电子邮件的典型案例中,攻击者可以向目标发送包含恶意JavaScript链接的电子邮件。
“如果受害者点击链接,HTTP请求将从受害者的浏览器发起并发送到易受攻击的Web应用程序,”根据XSS上的Veracode文章。 “恶意JavaScript然后被反射回受害者的浏览器,在受害者用户会话的上下文中执行。”
微软的安全更新通过确保Android for Android正确解析这些特制的电子邮件消息来解决这个漏洞。 用户应尽快更新其应用程序。
Outlook错误并不罕见。 去年,发现Microsoft Outlook中的漏洞( CVE-2018-0950 )允许黑客窃取用户的Windows密码,只需让目标预览包含远程托管OLE的RTF格式(RTF)附件的电子邮件宾语。
“通过说服用户使用Microsoft Outlook预览RTF电子邮件,远程未经身份验证的攻击者可能能够获取受害者的IP地址,域名,用户名,主机名和密码哈希”,根据CERT描述这个漏洞是由CERT协调中心的研究员Will Dormann发现的。
