当前位置:世界数码科技网 >> 互联网 >> 文章正文
微软:你还骂我修复系统漏洞吗?
贾浩南是奥菲寺的
量子报告| QbitAI,微信官方账号
一个修复了一个月的微软系统bug今天突然在HackerNews上火了。
不仅如此,GitHub中还有针对这个漏洞构建项目的开发人员。
但热门话题不是漏洞本身,而是一个非常严重的漏洞,但微软却将其标为最低级,并竭力淡化其影响力。
修复漏洞也很慢。
微软对于严重漏洞“化大为小”的做法,引来网友一致吐槽,甚至有人翻了微软的“旧账”。
这个漏洞有多严重?微软真的“护短”吗?
什么样的漏洞?
今年8月,微软团队,一个微软团队协作工具,被指出有严重的远程执行漏洞.
这个远程代码执行漏洞可以由teams.microsoft.com的新XSS(跨站点脚本)注入触发。
黑客在受害者的电脑上执行任意代码,无需用户交互。
桌面应用程序可能会在所有支持的团队平台上受到影响(Windows、macOS、Linux)
攻击者只需要发送一条对团队中的目标来说看起来正常的消息。受害者只需点击查看消息,然后远程执行代码。
整个过程不需要任何其他交互。
在演示中,攻击者只需要发送一个非交互式的HTTP请求。
当远程代码开始执行时,可以看到屏幕上闪现的模板字符串注入,但是普通用户很难检测到。
之后是公司内部网络,个人档案,Office文档/邮件/笔记,加密聊天等。都会被攻击或偷走。
定位最低层是否合理?
微软将此漏洞定义为“重要且具有欺骗性”,几乎是Office365云漏洞奖励计划中的最低级别漏洞。
但是就漏洞本身造成的危害而言,团队漏洞可能导致: