Une vulnérabilité importante dans l'application Outlook pour Android affecte plus de 100 millions d'utilisateurs

Le 20 juin 2019, Microsoft a publié une version mise à jour de son "Outlook pour Android" corrigeant une importante vulnérabilité de sécurité concernant l’application de messagerie utilisée par plus de 100 millions d'utilisateurs. Selon Microsoft, elle a été signalée par plusieurs chercheurs en sécurité.

Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une injection de code arbitraire indirecte à distance.

Selon l’avis de Microsoft, les versions antérieures à la version 3.0.88 d’Outlook pour Android contiennent une vulnérabilité de type XSS affectant les messages spécialement conçus. Cette vulnérabilité résulte des procédés utilisés pour parser un courrier électronique sous Outlook.

Détails techniques :

CVE-2019-1105 [Score CVSSv3 5.4] : Les attaquants distants peuvent exécuter du code arbitraire côté client dans les applications ciblées en leur envoyant simplement des courriers électroniques contenant un message spécialement conçu.

De plus, l'attaquant pourrait alors utiliser cette faille XSS sur les systèmes vulnérables et exécuter des scripts dans le contexte de sécurité de l'utilisateur.

Les détails techniques ou éventuelle démonstration de faisabilité de cette vulnérabilité n'ont pas encore été rendus publics.

Si l’appareil Android n'a pas encore été mis à jour automatiquement, il est conseillé de mettre à jour manuellement l’application Outlook à partir du Google Play Store.