Über 100 Mio. Nutzer: Microsofts Outlook-App für Android ist unsicher

Frank Hüber
62 Kommentare
Über 100 Mio. Nutzer: Microsofts Outlook-App für Android ist unsicher
Bild: Pixaline | CC0 1.0

Microsoft hat heute ein Update für die Android-App von Microsoft Outlook veröffentlicht, das eine kritische Sicherheitslücke behebt, die es Angreifern erlaubt, schädlichen Code auf den Smartphones der Opfer durch das einfache Zuschicken einer E-Mail auszuführen.

Die Outlook-App für Android wird derzeit von mehr als 100 Millionen Nutzern verwendet, die Zahl der potentiellen Opfer ist somit immens. Alle Versionen vor der Version 3.0.88 der Outlook-App für Android weisen bei der Art, wie sie eingehende E-Mails parsen, eine Anfälligkeit für Cross-Site-Scripting (XSS) auf. Eine speziell angepasste E-Mail eines Angreifers reicht aus, damit dieser infolgedessen clientseitig schadhaften Code in der Outlook-App ausführen kann.

Keine Erkenntnisse über ein Ausnutzen der Sicherheitslücke

Die Sicherheitslücke wird unter der Kennung CVE-2019-1105 als „Outlook for Android Spoofing Vulnerability“ geführt. Laut Microsoft wurde sie gleich von mehreren Sicherheitsforschern unabhängig voneinander gemeldet. Technische Details und ein Proof-of-Concept eines solchen Angriffs liegen bislang noch nicht öffentlich vor. Microsoft hat bislang keinerlei Erkenntnisse darüber, dass die Sicherheitslücke bereits aktiv von Angreifern ausgenutzt wurde.

A spoofing vulnerability exists in the way Microsoft Outlook for Android software parses specifically crafted email messages. An authenticated attacker could exploit the vulnerability by sending a specially crafted email message to a victim.

The attacker who successfully exploited this vulnerability could then perform cross-site scripting attacks on the affected systems and run scripts in the security context of the current user.

The security update addresses the vulnerability by correcting how Outlook for Android parses specially crafted email messages.

CVE-2019-1105

Update auf Version 3.0.88 der App schnellstmöglich installieren

Durch ein Update der Outlook-App für Android lässt sich das Risiko eines Angriffs eliminieren. Ab Version 3.0.88 der Android-App ist die Sicherheitslücke von Microsoft durch ein Anpassen des Parsens von E-Mails geschlossen worden. Nutzern der Outlook-App für Android wird deshalb schnellstmöglich ein Update der App über den Google Play Store empfohlen, sofern dieses noch nicht automatisch installiert wurde. Im Changelog im Google Play Store selbst gibt Microsoft derzeit allerdings keinen Hinweis auf die Wichtigkeit des Updates und die geschlossene Sicherheitslücke.