مایکروسافت در تاریخ ۲۰ ژوئن یک نسخهی بهروزرسانیشدهی Outlook را برای اندروید منتشر کرد که یک آسیبپذیری امنیتی مهم را در این برنامهی ایمیل محبوب که درحالحاضر بیش از ۱۰۰ میلیون کاربر دارد، وصله میکند. براساس مشاورهنامهی منتشرشده، برنامهی Outlook نسخههای قبل از ۳٫۰٫۸۸ اندروید حاوی یک آسیبپذیری XSS (CVE-2019-1105) است که در روش مورد استفادهی این برنامه برای parse کردن پیامهای ایمیل ورودی وجود دارد.
مهاجمان راه دور در صورت بهرهبرداری از این آسیبپذیری میتوانند تنها با ارسال ایمیلهای حاوی یک پیام خاص به دستگاههای هدف، کد سمت کلاینت مخرب را در آنها اجرا کنند. مهاجمی که با موفقیت از این آسیبپذیری بهرهبرداری میکند، میتواند حملات XSS را در سیستمهای آسیبدیده انجام دهند و اسکریپتهایی را در زمینهی امنیت کاربر اجرا کنند.
بهگفتهی مایکروسافت، این آسیبپذیری توسط چند پژوهشگر امنیتی مستقل گزارش شده بود که میتوانست منجر به حملات جعل (spoofing) شود. جزئیات فنی یا اثبات مفهومی این آسیبپذیری هنوز در دسترس عموم قرار نگرفته است و درحالحاضر مایکروسافت از هیچگونه حملهای که مربوط به این مسأله باشد اطلاعی ندارد. درصورتیکه دستگاه اندرویدی کاربران بهصورت خودکار بهروزرسانی نشده باشد، توصیه میشود که بهطور دستی برنامهی Outlook خود را از فروشگاه گوگلپلی بهروزرسانی کنند.