В Microsoft Teams обнаружили неисправленные с марта 2021 года уязвимости

Специалисты по безопасности обнаружили как минимум четыре различных уязвимости в функции предварительного просмотра ссылок Microsoft Teams. Однако до сих пор Microsoft исправила только одну из этих ошибок, отложив или отклонив исправления для остальных.

Поделившись подробностями в недавнем сообщении в блоге, Positive Security выделила четыре уязвимости Microsoft Teams, угрожающие конфиденциальности пользователей. Вкратце, первая из этих уязвимостей включает ошибку SSRF, затрагивающую конечную точку / urlp / v1 / url / info. Использование этой ошибки может сделать возможным внутреннее сканирование сообщений и эксплойты на основе HTTP.

Как указано в сообщении, вторая проблема заключалась в подмене URL-адресов, которая могла позволить злоумышленнику отправлять вредоносные ссылки целевому пользователю, выдавая себя за законные URL-адреса. Этот недостаток потенциально способствует фишинговым атакам.

Третья ошибка безопасности затронула приложение Microsoft Teams для Android, использование которого могло раскрыть IP-адреса. Затем последняя ошибка затронула и приложение Microsoft Teams для Android, что привело к отказу в обслуживании. Злоумышленнику требовалось только отправить целевому пользователю ссылку с недействительным предварительным просмотром. Щелчок по этой ссылке приведет к сбою приложения.

Исследователи сообщили об этих уязвимостях в Microsoft еще в марте 2021 года. Однако из всех четырех ошибок Microsoft исправила только ошибку утечки IP-адресов в приложении Android, отказавшись от исправлений для остальных.

В частности, Microsoft только заявила о возможности исправить ошибку DoS «в будущей версии». Принимая во внимание, что в отношении двух других ошибок технический гигант просто отрицал работу над ними из-за их потенциально ограниченной возможности использования и низкого риска.

Это означает, что пользователи Microsoft Teams теперь должны оставаться очень осторожными при открытии любых веб-ссылок. В частности, им нужно опасаться любых ссылок, полученных от нежелательных пользователей, чтобы избежать каких-либо рисков.

По данным разработчика TrueConf, в 2020 году платформа Microsoft Teams находилась в России на четвертом месте по популярности вреди корпоративных клиентов, а также на пятом – в качестве приложения для видеосвязи.

Добавлено: 24-12-2021, 10:37
0
203

Похожие публикации


Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Наверх