Microsoft acaba de lanzar una versión actualizada de la app de Outlook para Android que, acorde a los especialistas en seguridad informática corrige una falla de seguridad de severidad considerable. La app de correo electrónico cuenta con alrededor de 100 millones de usuarios activos.
En un reporte de seguridad, Microsoft informa que la aplicación de Outlook versión 3.0.88 y anteriores contiene una vulnerabilidad de secuenciad de comandos entre sitios (XSS) identificada como CVE-2019-1105. La falla existe debido a la forma en la que la app analiza los correos electrónicos entrantes.
De acuerdo con los expertos en seguridad informática del IICS, de ser explotada, la vulnerabilidad puede ayudar a un actor de amenazas remoto a ejecutar código malicioso del lado del cliente en el dispositivo objetivo, el hacker sólo requiere enviar un correo electrónico especialmente diseñado.
“Después de explotar de forma exitosa esta vulnerabilidad, un hacker podría realizar ataques XSS en los sistemas comprometidos ejecutando scripts en el contexto de seguridad de cualquier usuario”, menciona el reporte de Microsoft.
Según el equipo de seguridad informática de la compañía, la vulnerabilidad fue descubierta por un grupo de investigadores independientes que notificó a la compañía siguiendo el debido procedimiento para el informe de vulnerabilidades. Los expertos que descubrieron la falla reportaron que ésta podría conducir a un ataque de suplantación de identidad.
Aún no están disponibles los detalles sobre el ataque o una prueba de concepto para la vulnerabilidad, asimismo, Microsoft informó que no cuenta con evidencia que demuestre que este ataque ha sido concretado en escenarios reales.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de Outlook para Android verificar si su app se ha actualizado de forma automática. En caso contrario, el usuario deberá instalar la actualización manualmente desde la plataforma oficial de Google Play Store.
Múltiples vulnerabilidades día cero han sido reportadas recientemente en diversos productos de Microsoft, principalmente Windows 10. La investigadora conocida como Sandbox Escaper ha reportado al menos cinco errores de seguridad nuevos durante los últimos seis meses en servicios como Remote Desktop, Windows Server y Windows 10 Sandbox.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad