在 Microsoft Teams 中发现可蠕虫漏洞

安全研究员 奥斯卡·韦格里斯透露 Microsoft Teams 的可蠕虫漏洞利用，它仅通过查看消息来利用聊天客户端，而无需任何用户交互。

结果是“最终用户完全丧失了机密性和完整性——访问 MS Teams 之外的私人聊天、文件、内部网络、私钥和个人数据，”Vegeris 说。

通过利用 Teams '@mentions' 功能中存在的另一个跨站点脚本 (XSS) 漏洞和基于 JavaScript 的 RCE 有效负载，代码还可以传播给 Teams 应用程序的其他用户，从而实现自我传播漏洞利用。

该漏洞利用也是跨平台的，影响 Windows、Mac、Linux 甚至网络应用程序。

对于 Teams 用户来说幸运的是，Vegeris 在 2020 月发现了该漏洞，微软在 XNUMX 年 XNUMX 月结束后不久发布了补丁。

Vegeris 早些时候还披露了 Slack 桌面版本中的一个严重的“可蠕虫”漏洞，该漏洞可能允许攻击者通过简单地将恶意文件发送给另一个 Slack 用户来接管系统。

通过 黑客新闻