Menü
Alert!

Microsoft schließt Schwachstelle in Outlook-App für Android

Microsofts Mail-Anwendung Outlook läuft auf Millionen von Android-Geräten. Sie alle benötigen nun ein Sicherheitsupdate.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 16 Beiträge

pixabay / Screenshot (Collage)

Von

Microsoft hat eine aktualisierte Version der Android-Version seines E-Mail-Programms Outlook veröffentlicht. Darin haben die Entwickler eine Schwachstelle behoben, deren Schweregrad (Severity) das Unternehmen als "Important" einstuft. Ein entfernter, authentifizierter Angreifer könnte sie ausnutzen, um Cross-Site-Scripting-Angriffe auf verwundbaren Systemen durchzuführen und beliebige Skripte im Sicherheitskontext des angemeldeten Nutzers auszuführen (Remote Code Execution).

Ein paar Details nennt Microsoft in einem Sicherheitshinweis (unter der Kennung CVE-2019-1105 geführten) zur Schwachstelle. Demnach ist sie mittels speziell präparierter E-Mail-Nachrichten ausnutzbar. Die nun vorgenommene Aktualisierung ändere die Art und Weise, wie solche Nachrichten geparst würden und beseitige auf diese Weise die Angriffsmöglichkeit.

Noch genauer geht der Entdecker von CVE-2019-1105, Bryan Appleby von F5 Labs, im unternehmseigenen Blog auf die Schwachstelle ein. Die Tatsache, dass er dort auch Proof-of-Concept-Exploit-Code veröffentlicht hat, den potenzielle Angreifer bequem weiterverwenden könnten, erhöht die Dringlichkeit der zeitnahen App-Aktualisierung.

Zudem findet Appleby auch recht drastische Worte für die Gefahr, die von der Lücke ausgeht: Mittels Remote Code Execution sei es unter anderem möglich, präparierte E-Mails zu verschicken, deren bloßes Öffnen dem Versender den Mailbox-Inhalt zuspiele.

Applebys "Timeline of Disclosure" ist auch zu entnehmen, dass er Microsoft bereits im Dezember letzten Jahres über die erst jetzt behobene Schwachstelle informierte.

Die nun im Play Store verfügbare Version 3.0.88 schützt vor Angriffen auf CVE-2019-1105.

Wer die Outlook-App bereits auf seinem Android-Gerät installiert hat, kann sie manuell aktualisieren; einem Tweet von Microsofts Security Response Center (MSRC) zufolge wird das Update auf 3.0.88 in den nächsten Tagen aber auch automatisch verteilt.

Die iOS-Version der Outlook-App ist laut dem Sicherheitshinweis von Microsoft nicht betroffen. (ovw)