发现Outlook安卓版本APP跨站漏洞CVE-2019-1105

Outlook可能算是目前比较流行的邮箱APP之一了，近期，CyberArk公司研究团队就发现了Outlook安卓版本APP的一个跨站漏洞（XSS）- CVE-2019-1105，利用该漏洞可以在E-mail电子邮件中实现任意 JavaScript 代码执行。本文我们就一起来看看该漏洞的具体成因。漏洞利用大概的漏洞利用是这样的，如果我们向受害者邮箱发送包含Payload的邮件，当受害者打开邮件之后，就会跳出形如以下的XSS窗口：漏洞成因我们可以把Outlook for Andriod的APK程序进行一个逆向分析，在assets资源目录下，我们发现了一个名为“emailRenderer-android.js”的JavaScript文件，顾名思义，它是一个把邮件消息加载显示给用户查看的。在该JavaScript文件中，存在一个名为“layout”的函数，在其中它调用了名为“_linkifyPhoneNumbers”的 ………………………………