رفع آسیب‌پذیری از برنامه Outlook اندروید 

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی Security Affairs: آسیب‌پذیری برنامه اندرویدی Outlook نقص تزریق اسکریپت از طریق وب‌گاه (XSS) است و در نحوه پردازش پیام‌های ایمیل ورودی وجود دارد که یک "مهاجم احرازهویت نشده" می‌تواند با ارسال پیام ایمیلی دستکاری شده از این نقص بهره‌برداری کند.
مهاجم، پس از سوء استفاده موفق از آسیب‌پذیری، با انجام حمله XSS روی دستگاه آسیب‌پذیر، می‌تواند اسکریپت دلخواه خود را اجرا و در نهایت این باگ به مهاجم اجازه می‌دهد تا داده‌های مورد نظر خود را از برنامه Outlook سرقت کند.
پژوهشگران امنیتی مختلف، به طور مجزا، این آسیب‌پذیری را با عنوان یک نقص شنود گزارش کرده‌اند.
کارشناسان به این نکته اشاره کردند که این نقص بر نحوه کارکرد پردازش موجودیت‌های HTML در پیام‌های ایمیل تاثیر می‌گذارد.
یکی از پژوهشگران امنیتی اخیرا جزئیات بیشتری درباره این آسیب‌پذیری به همراه کد اثبات مفهومی (PoC) آن منتشر کرده است. در این کد با قرار دادن یک iframe در ایمیل از آسیب‌پذیری بهره‌برداری می‌شود. در صورتی که مهاجم از این طریق بتواند کد جاوااسکریپت در یک ایمیل اجرا کند، می‌تواند اقدامات مخربی را انجام دهد.
به طور معمول یک اسکریپت جاوااسکریپت در یک iframe تنها می‌تواند به محتوای خود iframe دسترسی داشته باشد، اما پژوهشگران در برنامه Outlook اندروید توانستند از طریق کد جاوااسکریپت iframe به کوکی‌ها، توکن و سایر اطلاعات، دسترسی کامل پیدا کنند.