Izkoriščanje, ki ga je mogoče črpati, najdemo v Microsoft Teams

Domov » Microsoftove ekipe

Ikona časa branja 1 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Microsoftove ekipe izkoriščajo

Varnostni raziskovalec Oskars Vegeris je razkril črvljiv izkoriščanje za Microsoft Teams, ki bi izkoriščalo odjemalca klepeta samo z ogledom sporočila, brez kakršne koli interakcije z uporabnikom.

Rezultat je "popolna izguba zaupnosti in integritete za končne uporabnike – dostop do zasebnih klepetov, datotek, notranjega omrežja, zasebnih ključev in osebnih podatkov zunaj MS Teams," je dejal Vegeris.

Z izkoriščanjem druge pomanjkljivosti skriptov med spletnimi mesti (XSS), ki je prisotna v funkcionalnosti Teams '@mentions', in koristnem obremenitvi RCE, ki temelji na JavaScript, se lahko koda razširi tudi na druge uporabnike aplikacije Teams, kar pomeni samorazširjanje izkoriščanja.

Izkoriščanje je tudi med platformo, ki vpliva na Windows, Mac, Linux in celo spletno aplikacijo.

Na srečo uporabnikov Teams je Vegeris odkril napako avgusta, Microsoft pa je konec oktobra 2020 kmalu izdal popravek.

Vegeris je tudi že prej razkril kritično napako, ki jo je mogoče črviti v Slackovi namizni različici, ki bi napadalcu lahko omogočila, da prevzame sistem tako, da preprosto pošlje zlonamerno datoteko drugemu uporabniku Slacka.

preko Thehackernews

Več o temah: izkoriščanje, Microsoftove ekipe, varnost

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.