مایکروسافت هفتهی گذشته یک نسخهی بهروزرسانیشده برای برنامهی Outlook اندروید منتشر کرد که یک آسیبپذیری اجرای کد از راه دور با شدت بالا (CVE-2019-1105) را وصله میکند. این آسیبپذیری بیش از ۱۰۰ میلیون کاربر را تحت تأثیر قرار داده است. بااینحال، در آن زمان جزئیات بسیار کمی از این آسیبپذیری منتشر شد که نشان میداد نسخههای قبلی این برنامهی ایمیل دارای یک آسیبپذیری XSS است که به مهاجمان اجازه میدهد تا با ارسال یک ایمیل خاص به قربانیان اسکریپتها را در سیستم آنها اجرا کنند.
درحالحاضر، یکی از پژوهشگران امنیتی F5 Networks به نام Bryan Appleby که این مسأله را بهطور مستقل به مایکروسافت گزارش داد، جزئیات بیشتر و اثبات مفهومی این آسیبپذیری Outlook را که شش ماه قبل به مایکروسافت گزارش داده بود، منتشر کرد. وی در پست وبلاگی خود اعلام کرد که زمانیکه برخی کدهای جاوااسکریپت را از طریق ایمیل با دوستان خود تبادل میکرد، بهطور تصادفی یک مسألهی XSS را کشف کرد که به مهاجم اجازه میداد تا یک آیفریم را در ایمیل جاسازی کند.
به عبارت دیگر، این آسیبپذیری در روش parse کردن موجودیتهای HTML در پیامهای ایمیل توسط سرور ایمیل وجود دارد. اگرچه جاوااسکریپت در داخل یک آیفریم اجرا میشود و تنها میتواند به محتوای داخل آن دسترسی پیدا کند، Appleby متوجه شد که اجرای کد جاوااسکریپت در داخل آیفریم تزریقشده به مهاجم اجازه میدهد تا محتوای مرتبط با برنامه ازجمله کوکیها، توکنها و حتی برخی محتواهای صندوق دریافت ایمیل کاربر واردشده به Outlook را بخواند. Appleby بیان کرد که این آسیبپذیری به او اجازه داد تا دادهها را از برنامه به سرقت ببرد و از آن برای خواندن و استخراج موجودیتهای HTML استفاده کند.
Appleby تشریح کرد که این نوع آسیبپذیری میتواند توسط مهاجمی که یک ایمیل با کد جاوااسکریپت در داخل آن را ارسال میکند، مورد بهرهبرداری قرار گیرد. این سرور کد جاوااسکریپت را نمیبیند، زیرا در داخل یک آیفریم است. زمانیکه ایمیل ارسالی تحویل داده شد، کد جاوااسکریپت در دستگاه کلاینت اجرا میشود.
این کد میتواند هر کاری را که مهاجم بخواهد، انجام دهد و حتی اطلاعات را به سرقت ببرد و یا اطلاعات را ارسال کند. یک مهاجم میتواند به کاربر ایمیل ارسال کند و تنها با خوانده شدن آن توسط کاربر محتوای صندوق دریافت کاربر را به سرقت ببرد. Appleby یافتههای خود را در ۱۰ دسامبر سال ۲۰۱۸ میلادی به مایکروسافت گزارش داد و این شرکت در ۲۶ مارس سال ۲۰۱۹ میلادی، زمانیکه وی یک اثبات مفهومی جهانی را با مایکروسافت به اشتراک گذاشت، این آسیبپذیری را تأیید کرد. مایکروسافت این آسیبپذیری را رفع کرد و برای آن یک وصله منتشر کرد. این شرکت بیان میکند که درحالحاضر هیچ حملهای را که مرتبط با این مسأله باشد، مشاهده نکرده است. به کاربران توصیه میشود که درصورتیکه دستگاه اندرویدی آنها بهصورت خودکار بهروزرسانی نشده باشد برنامهی Outlook خود را بهصورت دستی از فروشگاه گوگلپلی بهروزرسانی کنند.
