Microsoft hat eine aktualisierte Version der Android-Version seines E-Mail-Programms Outlook veröffentlicht. Darin haben die Entwickler eine Schwachstelle behoben, deren Schweregrad (Severity) das Unternehmen als "Important" einstuft. Ein entfernter, authentifizierter Angreifer könnte sie ausnutzen, um Cross-Site-Scripting-Angriffe auf verwundbaren Systemen durchzuführen und beliebige Skripte im Sicherheitskontext des angemeldeten Nutzers auszuführen (Remote Code Execution).
Noch genauer geht der Entdecker von CVE-2019-1105, Bryan Appleby von F5 Labs, im unternehmseigenen Blog auf die Schwachstelle ein. Die Tatsache, dass er dort auch Proof-of-Concept-Exploit-Code veröffentlicht hat, den potenzielle Angreifer bequem weiterverwenden könnten, erhöht die Dringlichkeit der zeitnahen App-Aktualisierung.
Zudem findet Appleby auch recht drastische Worte für die Gefahr, die von der Lücke ausgeht: Mittels Remote Code Execution sei es unter anderem möglich, präparierte E-Mails zu verschicken, deren bloßes Öffnen dem Versender den Mailbox-Inhalt zuspiele.
Applebys "Timeline of Disclosure" ist auch zu entnehmen, dass er Microsoft bereits im Dezember letzten Jahres über die erst jetzt behobene Schwachstelle informierte.
Wer die Outlook-App bereits auf seinem Android-Gerät installiert hat, kann sie manuell aktualisieren; einem Tweet von Microsofts Security Response Center (MSRC) zufolge wird das Update auf 3.0.88 in den nächsten Tagen aber auch automatisch verteilt.
Die iOS-Version der Outlook-App ist laut dem Sicherheitshinweis von Microsoft nicht betroffen.
(ovw)