发布日期：2014-08-14
更新日期：2014-08-18

受影响系统：

Microsoft Outlook.com Android < 7.8.2.12.49.7090

描述：

---

CVE(CAN) ID: CVE-2014-5239

Microsoft Outlook.com Android版应用是在 iPhone、iPad、iPod Touch、Android 手机或 Windows Phone 中使用的Outlook.com邮件服务。

Microsoft Outlook.com for Android 7.8.2.12.49.7090之前版本没有验证来自SSL服务器的X.5.9证书，这可使中间人攻击者通过精心构造的证书欺骗服务器并获取敏感信息。

<*来源：Koki Takahashi
  
  链接：http://securitytracker.com/id/1030733
*>

建议：

---

厂商补丁：

Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://play.google.com/store/apps/details?id=com.outlook.Z7&hl=en

参考：
[1] http://www.securify.nl/advisory/SFY20140403/outlook_com_for_android_fails_to_validate_server_certificates.html
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5239
[3] http://jvndb.jvn.jp/en/contents/2014/JVNDB-2014-000086.html
[4] https://play.google.com/store/apps/details?id=com.outlook.Z7
[5] http://developer.android.com/reference/android/webkit/WebViewClient.html#onReceivedSslError%28android.webkit.WebView,%20android.webkit.SslErrorHandler,%20android.net.http.SslError%29 [6] http://developer.android.com/reference/android/webkit/SslErrorHandler.html#proceed%28%29

浏览次数：2268
严重程度：0（网友投票）