Microsoft schließt Schwachstelle in Outlook-App für Android

22.06.2019 16:01 Uhr Olivia von Westernhagen

Microsofts Mail-Anwendung Outlook läuft auf Millionen von Android-Geräten. Sie alle benötigen nun ein Sicherheitsupdate.

Microsoft hat eine aktualisierte Version der Android-Version seines E-Mail-Programms Outlook veröffentlicht. Darin haben die Entwickler eine Schwachstelle behoben, deren Schweregrad (Severity) das Unternehmen als "Important" einstuft. Ein entfernter, authentifizierter Angreifer könnte sie ausnutzen, um Cross-Site-Scripting-Angriffe auf verwundbaren Systemen durchzuführen und beliebige Skripte im Sicherheitskontext des angemeldeten Nutzers auszuführen (Remote Code Execution).

Ein paar Details nennt Microsoft in einem Sicherheitshinweis (unter der Kennung CVE-2019-1105 geführten) zur Schwachstelle [1]. Demnach ist sie mittels speziell präparierter E-Mail-Nachrichten ausnutzbar. Die nun vorgenommene Aktualisierung ändere die Art und Weise, wie solche Nachrichten geparst würden und beseitige auf diese Weise die Angriffsmöglichkeit.

Proof-of-Concept-Code verfügbar

Noch genauer geht der Entdecker von CVE-2019-1105, Bryan Appleby von F5 Labs, im unternehmseigenen Blog auf die Schwachstelle ein [2]. Die Tatsache, dass er dort auch Proof-of-Concept-Exploit-Code veröffentlicht hat, den potenzielle Angreifer bequem weiterverwenden könnten, erhöht die Dringlichkeit der zeitnahen App-Aktualisierung.

Zudem findet Appleby auch recht drastische Worte für die Gefahr, die von der Lücke ausgeht: Mittels Remote Code Execution sei es unter anderem möglich, präparierte E-Mails zu verschicken, deren bloßes Öffnen dem Versender den Mailbox-Inhalt zuspiele.

Applebys "Timeline of Disclosure" ist auch zu entnehmen, dass er Microsoft bereits im Dezember letzten Jahres über die erst jetzt behobene Schwachstelle informierte.

Version 3.0.88 ist abgesichert

Version 3.0.88 behebt die Schwachstelle.

(Bild: Play Store (Screenshot))

Die nun im Play Store verfügbare Version 3.0.88 [3] schützt vor Angriffen auf CVE-2019-1105.

Wer die Outlook-App bereits auf seinem Android-Gerät installiert hat, kann sie manuell aktualisieren; einem Tweet von Microsofts Security Response Center (MSRC) zufolge wird das Update auf 3.0.88 in den nächsten Tagen aber auch automatisch verteilt.

Die iOS-Version der Outlook-App ist laut dem Sicherheitshinweis von Microsoft nicht betroffen. (ovw [4])

URL dieses Artikels:
https://www.heise.de/-4453434

Links in diesem Artikel:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105
[2] https://www.f5.com/labs/articles/threat-intelligence/how-i-hacked-the-microsoft-outlook-android-app-and-found-cve-2019-1105
[3] https://play.google.com/store/apps/details?id=com.microsoft.office.outlook
[4] mailto:olivia.von.westernhagen@gmail.com