IPAセキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7月30日、Outlook.comのAndroidアプリにSSLサーバ証明書の検証不備の脆弱性があることをJVN(Japan Vulnerability Notes)で公表した。
この脆弱性により、中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行われるおそれがある。
影響を受けるバージョンは、Android版Outlook.com 7.8.2.12.49.7090より前のバージョン。
本稿執筆時点で、Google Playでダウンロード可能な最新のAndroidアプリは7月28日に更新されたもの。バージョンは7.8.2.12.49.7564であるため、今回公表された脆弱性は修正されている。
この脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、高橋恒樹氏がIPAに報告したもの。