Actualización (22 de junio de 2019) – Se han publicado más detalles técnicos y una prueba de concepto para la vulnerabilidad de OutLook para Android que hemos cubierto en un artículo separado aquí.

Microsoft lanzó hoy una versión actualizada de su «Outlook para Android» que corrige una importante vulnerabilidad de seguridad en la popular aplicación de correo electrónico que actualmente utilizan más de 100 millones de usuarios.

Según un aviso, la aplicación de Outlook con versiones anteriores a la 3.0.88 para Android contiene una vulnerabilidad de secuencias de comandos entre sitios almacenada (CVE-2019-1105) en la forma en que la aplicación analiza los mensajes de correo electrónico entrantes.

Si se explota, los atacantes remotos pueden ejecutar código malicioso del lado del cliente en la aplicación en los dispositivos de destino simplemente enviándoles correos electrónicos con un mensaje especialmente diseñado.

«El atacante que explotó con éxito esta vulnerabilidad podría realizar ataques de secuencias de comandos entre sitios en los sistemas afectados y ejecutar secuencias de comandos en el contexto de seguridad del usuario actual».

Según Microsoft, la falla fue informada de manera responsable por varios investigadores de seguridad de forma independiente, incluidos Bryan Appleby de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar, y podría conducir a ataques de suplantación de identidad.

Los detalles técnicos o cualquier prueba de concepto de esta falla aún no están disponibles públicamente y Microsoft actualmente no tiene conocimiento de ningún ataque relacionado con este problema.

Si su dispositivo Android aún no se ha actualizado automáticamente, le recomendamos que actualice manualmente su aplicación de Outlook desde Google Play Store.