当前位置：世界数码科技网 >> 互联网 >> 文章正文

微软:你还骂我修复系统漏洞吗？

贾浩南是奥菲寺的

量子报告| QbitAI，微信官方账号

一个修复了一个月的微软系统bug今天突然在HackerNews上火了。

不仅如此，GitHub中还有针对这个漏洞构建项目的开发人员。

但热门话题不是漏洞本身，而是一个非常严重的漏洞，但微软却将其标为最低级，并竭力淡化其影响力。

修复漏洞也很慢。

微软对于严重漏洞“化大为小”的做法，引来网友一致吐槽，甚至有人翻了微软的“旧账”。

这个漏洞有多严重？微软真的“护短”吗？

什么样的漏洞？

今年8月，微软团队，一个微软团队协作工具，被指出有严重的远程执行漏洞.

这个远程代码执行漏洞可以由teams.microsoft.com的新XSS(跨站点脚本)注入触发。

黑客在受害者的电脑上执行任意代码，无需用户交互。

桌面应用程序可能会在所有支持的团队平台上受到影响(Windows、macOS、Linux)

攻击者只需要发送一条对团队中的目标来说看起来正常的消息。受害者只需点击查看消息，然后远程执行代码。

整个过程不需要任何其他交互。

在演示中，攻击者只需要发送一个非交互式的HTTP请求。

当远程代码开始执行时，可以看到屏幕上闪现的模板字符串注入，但是普通用户很难检测到。

之后是公司内部网络，个人档案，Office文档/邮件/笔记，加密聊天等。都会被攻击或偷走。

定位最低层是否合理？

微软将此漏洞定义为“重要且具有欺骗性”，几乎是Office365云漏洞奖励计划中的最低级别漏洞。

但是就漏洞本身造成的危害而言，团队漏洞可能导致：