PoC针对Outlook缺陷发布，微软在发现后6个月修补了该缺陷

正如我们两天前报道的那样，微软本周发布了其Android版Outlook应用程序的更新版本，该应用程序修补了一个严重的远程代码执行漏洞()这影响了超过1亿用户。

然而，当时，该公告中几乎没有关于该漏洞的详细信息，只是披露了该电子邮件应用的早期版本包含一个跨站点脚本（XSS）漏洞，攻击者只需向受害者发送一封精心编制的电子邮件，就可以在当前用户的上下文中运行脚本。

现在，F5 Networks的布莱恩·阿普尔比（Bryan Appleby）发布了有关Outlook漏洞的更多细节和概念证明，他是安全研究人员之一，曾独立向微软报告过这个问题。他在近六个月前向这家科技巨头报告了Outlook漏洞。

在周五发布的一篇博客文章中，Appleby透露，在通过电子邮件与朋友交换一些JavaScript代码时，他意外发现了一个跨站点脚本（XSS）问题，该问题可能允许攻击者在电子邮件中嵌入iframe。

换句话说，该漏洞存在于电子邮件服务器解析电子邮件中HTML实体的方式中。

虽然在iframe中运行的JavaScript只能访问其中的内容，但Appleby发现，在注入的iframe中执行JavaScript代码可以让攻击者在登录Outlook用户的上下文中读取与应用程序相关的内容，包括他们的cookie、令牌，甚至是他们电子邮件收件箱的一些内容。

Appleby说，该漏洞允许他“从应用程序中窃取数据，我可以用它读取和提取HTML”。

Appleby说：“攻击者发送包含JavaScript的电子邮件时，可能会利用这种漏洞进行攻击。服务器会逃逸该JavaScript，但不会看到它，因为它位于iframe中。邮件客户端在发送时会自动撤消逃逸，JavaScript会在客户端设备上运行。答对了，远程代码执行。解释。“这段代码可以做攻击者想要做的任何事情，包括窃取信息和/或发送数据。攻击者可以向你发送电子邮件，只要你阅读它，他们就可以窃取你收件箱的内容。如果使用武器，这可能会变成一个非常恶劣的恶意软件”。

Appleby于2018年12月10日向微软负责地报告了他的发现，该公司于2019年3月26日确认了该漏洞，当时他与这家科技巨头共享了一个通用PoC。

微软在两天前修补了该漏洞并发布了修复程序—这是在首次漏洞披露后的近6个月。该公司表示，目前还不知道有任何与这一问题有关的野生攻击。

除了Appleby之外，安全研究人员Sander Vanrapenbusch、Tom Wyckhuys、CyberArk的Eliraz Duek和Gaurav Kumar最近几个月也分别向微软报告了同样的问题。

Gaurav Kumar还与黑客新闻分享了一段视频，演示了该漏洞的实际情况，如上图所示。

同样，如果您的Android设备尚未自动更新，建议您从Google Play Store手动更新Outlook应用程序。