在 Microsoft Teams 中发现可蠕虫漏洞
1分钟读
发表于
读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
安全研究员 奥斯卡·韦格里斯透露 Microsoft Teams 的可蠕虫漏洞利用,它仅通过查看消息来利用聊天客户端,而无需任何用户交互。
结果是“最终用户完全丧失了机密性和完整性——访问 MS Teams 之外的私人聊天、文件、内部网络、私钥和个人数据,”Vegeris 说。
通过利用 Teams '@mentions' 功能中存在的另一个跨站点脚本 (XSS) 漏洞和基于 JavaScript 的 RCE 有效负载,代码还可以传播给 Teams 应用程序的其他用户,从而实现自我传播漏洞利用。
该漏洞利用也是跨平台的,影响 Windows、Mac、Linux 甚至网络应用程序。
对于 Teams 用户来说幸运的是,Vegeris 在 2020 月发现了该漏洞,微软在 XNUMX 年 XNUMX 月结束后不久发布了补丁。
Vegeris 早些时候还披露了 Slack 桌面版本中的一个严重的“可蠕虫”漏洞,该漏洞可能允许攻击者通过简单地将恶意文件发送给另一个 Slack 用户来接管系统。
通过 黑客新闻