Une vulnérabilité importante dans l'application Outlook pour Android affecte plus de 100 millions d'utilisateurs

Le 20 juin 2019, Microsoft a publié une version mise à jour de son "Outlook pour Android" corrigeant une importante vulnérabilité de sécurité concernant l’application de messagerie utilisée par plus de 100 millions d'utilisateurs. Selon Microsoft, elle a été signalée par plusieurs chercheurs en sécurité.

Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une injection de code arbitraire indirecte à distance.

Selon l’avis de Microsoft, les versions antérieures à la version 3.0.88 d’Outlook pour Android contiennent une vulnérabilité de type XSS affectant les messages spécialement conçus. Cette vulnérabilité résulte des procédés utilisés pour parser un courrier électronique sous Outlook.

Détails techniques :

CVE-2019-1105 : Les attaquants distants peuvent exécuter du code arbitraire côté client dans les applications ciblées en leur envoyant simplement des courriers électroniques contenant un message spécialement conçu.

De plus, l'attaquant pourrait alors utiliser cette faille XSS sur les systèmes vulnérables et exécuter des scripts dans le contexte de sécurité de l'utilisateur.

Les détails techniques ou éventuelle démonstration de faisabilité de cette vulnérabilité n'ont pas encore été rendus publics.

Si l’appareil Android n'a pas encore été mis à jour automatiquement, il est conseillé de mettre à jour manuellement l’application Outlook à partir du Google Play Store.

Informations
+

Risques

  • Exécution de code à distance
  • Exécution de script indirect (XSS)

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Les versions antérieures à la version 3.0.88 pour Android.

CVE

  • CVE-2019-1105

Recommandations
+

Mise en place de correctif de sécurité

  • Une mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Outlook pour Android traite les messages électroniques.

Solution de contournement

  • Aucune solution de contournement n’est proposée.