outlook

Outlook: Importante Faille dans l’application sur Android

Microsoft a sorti une nouvelle version de “Outlook pour Android” qui patch une vulnérabilité importante dans l’application d’email populaire qui est utilisé par plus de 100 millions d’utilisateurs.

Microsoft Outlook (officiellement Microsoft Office Outlook) est un gestionnaire d’informations personnelles et un client de courrier électronique propriétaire édité par Microsoft. Il fait partie de la suite bureautique Microsoft Office.

Bien qu’il soit principalement utilisé en tant qu’application de courrier électronique, il propose aussi un calendrier et un gestionnaire de tâche et de contact.Il peut être utilisé de manière autonome, mais il a aussi la possibilité de fonctionner conjointement à Microsoft Exchange Server pour fournir des fonctions étendues pour une utilisation multi-utilisateurs dans une organisation, telles que le partage des boîtes de courriels, des calendriers et des emplois du temps des réunions.

Selon un rapport, les versions de l’application Outlook antérieures à la version 3.0.88 sur Android contient une vulnérabilité cross-site scripting (CVE-2019-1105) dans la méthode utilisée par l’application pour analyser les emails reçus.

Après exploitation, les hackers peuvent exécuter du code malveillant à distance sur les appareils ciblées juste en envoyant des emails spéciaux.

Selon Microsoft, la faille a été reporté indépendamment par plusieurs chercheurs en sécurité et peut potentiellement mené à des attaques de spoofing.

Les détails techniques ou les proof-of-concept de cette faille ne sont pas encore disponible au public et Microsoft n’a détecté aucune campagne active d’attaque liée à cette faille.

Si votre appareil Android n’a pas encore été mis à jour automatiquement, vous devriez mettre à jour votre application Outlook manuellement depuis le Google Play Store.

Mise à jour 23/06/2019[Proof-of-concept]:

Dans un artcile publié Vendredi, Bryan Appleby a révélé qu’en échangeant du code JavaScript avec ses amis par email, il a accidentellement découvert une faille cross-site scripting (XSS) qui permet à un hacker d’intégrer un iframe dans l’email.

En d’autres termes, la vulnérabilité réside dans la méthode utilisée par le serveur d’email pour analyser les entités HTML dans les courriers électroniques.

Bien que le JavaScript s’exécutant dans l’iframe peut seulement accéder au contenu à l’intérieur de celui-ci, Appleby a découvert qu’exécuter du code JavaScript à l’intérieur d’un iframe injecté peut permettre à un hacker de lire du contenu comme si il était un utilisateur connecté, ainsi que des cookies, des tokens et même du contenu de la boîte de réception.

“Ce type de vulnérabilité peut être exploité par un hacker envoyant un email avec du javascript à l’intérieur. Le serveur échappe ce JavaScript et ne le voit pas car il est à l’intérieur d’un iframe. Lors de la réception, le client mail défait l’échappement, et le code JavaScript s’exécute sur l’appareil du client. Bingo – exécution de code à distance,” a expliqué Appleby.

Appleby a signalé le problème à Microsoft le 10 Décembre 2018, et la compagnie à confirmé la vulnérabilité le 26 Mars 2019 quand il a partagé un proof-of-concept universel avec eux.

Vous pouvez voir une vidéo du proof-of-concept ci-dessous:

Laisser un commentaire