هشدارهای افتایی
مایکروسافت اخیرا یک آسیب‌پذیری مهم با شناسه CVE-2019-1105 را در برنامه Outlook در سیستم‌عامل اندروید رفع کرده است که به طور بالقوه بیش از 100 میلیون کاربر را تحت تاثیر قرار می‌دهد. آسیب‌پذیری یک نقص تزریق اسکریپت از طریق وب‌گاه (XSS) است و در نحوه پردازش پیام‌های ایمیل ورودی وجود دارد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Security Affairs، یک مهاجم احرازهویت نشده می‌تواند با ارسال یک پیام ایمیل دستکاری شده از این نقص بهره‌برداری کند. پس از سوء استفاده موفق از آسیب‌پذیری، مهاجم حمله XSS روی دستگاه آسیب‌پذیر انجام می‌دهد و می‌تواند اسکریپت دلخواه اجرا کند.
این آسیب‌پذیری با عنوان یک نقص شنود و به طور مجزا توسط پژوهشگران امنیتی مختلف گزارش شده است. یکی از پژوهشگران امنیتی اخیرا جزئیات بیشتری درباره این آسیب‌پذیری به همراه کد اثبات مفهومی (PoC) آن منتشر کرده است. در این کد با قرار دادن یک iframe در ایمیل از آسیب‌پذیری بهره‌برداری می‌شود. در صورتی که مهاجم از این طریق بتواند کد جاوااسکریپت در یک ایمیل اجرا کند، می‌تواند اقدامات مخربی را انجام دهد.
کارشناسان به این نکته اشاره کردند که این نقص بر نحوه کارکرد پردازش موجودیت‌های HTML در پیام‌های ایمیل تاثیر می‌گذارد. به طور معمول یک اسکریپت جاوااسکریپت در یک iframe تنها می‌تواند به محتوای خود iframe دسترسی داشته باشد، اما پژوهشگران در برنامه Outlook اندروید توانستند از طریق کد جاوااسکریپت iframe دسترسی کامل به کوکی‌ها، توکن و سایر اطلاعات پیدا کنند. در نهایت این باگ به مهاجم اجازه می‌دهد تا از برنامه Outlook داده به سرقت ببرد.
آسیب‌پذیری CVE-2019-1105 در به‌روزرسانی اخیر برنامه Outlook مایکروسافت رفع شده است.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.