Für die Android-Version des E-Mail-Programms Outlook hat Microsoft eine aktualisierte Version veröffentlicht. Die Entwickler haben darin eine Schwachstelle behoben, deren Schweregrad (Severity) das Unternehmen als "Important" einstuft. Diese könnte von einem entfernten, authentifizierten Angreifer ausgenutzt werden, indem er Cross-Site-Scripting-Angriffe auf verwundbaren Systemen durchführt und beliebige Skripte im Sicherheitskontext des angemeldeten Nutzers ausführt (Remote Code Execution).

Unter der Kennung CVE-2019-1105 geführten Schwachstelle nennt Microsoft dazu einige Details in einem Sicherheitshinweis. Sie ist mittels speziell präparierter E-Mail-Nachrichten demnach ausnutzbar. Die Art und Weise, wie solche Nachrichten geparst würden, ändere die nun vorgenommene Aktualisierung und beseitige auf diese Weise die Angriffsmöglichkeit.

Bryan Appleby von F5 Labs entdeckte diese Schwachstelle CVE-2019-1105 und geht im unternehmseigenen Blog auf die Schwachstelle noch genauer ein. Die Dringlichkeit der zeitnahen App-Aktualisierung erhöht sich, da Appleby auf dem Blog auch Proof-of-Concept-Exploit-Code veröffentlicht hat, den potenzielle Angreifer bequem weiterverwenden könnten.

Vor diesen Angriffen schützt die nun im Play Store verfügbare Version 3.0.88. Einem Tweet von Microsofts Security Response Center (MSRC) zufolge soll in den nächsten Tagen das Update auf 3.0.88 automatisch verteilt werden, kann aber auch manuell installiert werden.

Laut dem Sicherheitshinweis von Microsoft ist die iOS-Version der Outlook-App nicht betroffen.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE