ارتباطات و فناوري اطلاعات

رفع آسیب‌پذیری از برنامه Outlook اندروید مایکروسافت

مایکروسافت یک آسیب‌پذیری مهم را در برنامه Outlook در سیستم‌عامل اندروید رفع کرده است که به طور بالقوه بیش از ۱۰۰ میلیون کاربر را تحت تاثیر قرار می‌دهد.

به گزارش پایگاه خبری آرمان اقتصادی از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری و به نقل از پایگاه اینترنتی Security Affairs: آسیب‌پذیری برنامه اندرویدی Outlook نقص تزریق اسکریپت از طریق وب‌گاه (XSS) است و در نحوه پردازش پیام‌های ایمیل ورودی وجود دارد که یک “مهاجم احرازهویت نشده” می‌تواند با ارسال پیام ایمیلی دستکاری شده از این نقص بهره‌برداری کند.

مهاجم، پس از سوء استفاده موفق از آسیب‌پذیری، با انجام حمله XSS روی دستگاه آسیب‌پذیر، می‌تواند اسکریپت دلخواه خود را اجرا و در نهایت این باگ به مهاجم اجازه می‌دهد تا داده‌های مورد نظر خود را از برنامه Outlook سرقت کند.

همچنین بخوانید

پژوهشگران امنیتی مختلف، به طور مجزا، این آسیب‌پذیری را با عنوان یک نقص شنود گزارش کرده‌اند.

کارشناسان به این نکته اشاره کردند که این نقص بر نحوه کارکرد پردازش موجودیت‌های HTML در پیام‌های ایمیل تاثیر می‌گذارد.

یکی از پژوهشگران امنیتی اخیرا جزئیات بیشتری درباره این آسیب‌پذیری به همراه کد اثبات مفهومی (PoC) آن منتشر کرده است. در این کد با قرار دادن یک iframe در ایمیل از آسیب‌پذیری بهره‌برداری می‌شود. در صورتی که مهاجم از این طریق بتواند کد جاوااسکریپت در یک ایمیل اجرا کند، می‌تواند اقدامات مخربی را انجام دهد.

به طور معمول یک اسکریپت جاوااسکریپت در یک iframe تنها می‌تواند به محتوای خود iframe دسترسی داشته باشد، اما پژوهشگران در برنامه Outlook اندروید توانستند از طریق کد جاوااسکریپت iframe به کوکی‌ها، توکن و سایر اطلاعات، دسترسی کامل پیدا کنند.

همچنین بخوانید

دکمه بازگشت به بالا