Microsoft випустила оновлену версію свого Outlook для Android, що виправляє важливу вразливість у популярному поштовому додатку, який зараз використовується понад 100 мільйонами користувачів. Про це повідомляє The Hacker News.
Згідно з релізом, програма Outlook з версіями до 3.0.88 для Android містить у собі вразливість скриптів (CVE-2019-1105).
Зловмисники можуть виконувати шкідливий код на стороні клієнта на цільових пристроях шляхом надсилання електронних листів зі спеціально створеним повідомленням – гіпотетично так має виглядати атака з використанням цієї вразливості.
Зловмисник, який успішно скористався цією вразливістю, може виконати атаки між сценаріями на уражені системи та запустити сценарії в контексті безпеки поточного користувача.
За даними Microsoft, про недолік було відповідально повідомлено декількома дослідниками безпеки. Потенційно дана помилка безпеки може призвести до спудінгових атак.
Технічні подробиці або будь-які докази використання цього недоліку ще не доступні публічно, і Microsoft наразі не знає про будь-яку атаку в реальності, здійснену за допомогою цієї вразливості.
Якщо Ваш Android-пристрій ще не оновлюється автоматично, рекомендується вручну оновити програму Outlook з магазину Google Play Маркет.
Нагадаємо, компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.
Також додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.
Окрім цього, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.
