5 月 30 日消息，網(wǎng)絡(luò)安全團(tuán)隊(duì) Oasis Research Team 于 5 月 28 日發(fā)布博文，報(bào)告稱微軟 OneDrive 文件選擇器（File Picker）存在嚴(yán)重安全漏洞。

IT之家援引博文介紹，該團(tuán)隊(duì)表示這個(gè)漏洞的根源，在于文件選擇器請(qǐng)求的權(quán)限過于寬泛，缺乏精細(xì)化的 OAuth 權(quán)限范圍控制。即便用戶僅上傳單個(gè)文件，文件選擇器，也會(huì)要求對(duì)整個(gè)云存儲(chǔ)驅(qū)動(dòng)器的讀取權(quán)限。

這樣的設(shè)計(jì)讓用戶難以分辨哪些應(yīng)用是惡意索取全部文件訪問權(quán)限，哪些應(yīng)用只是因?yàn)槿狈Π踩x項(xiàng)而被迫請(qǐng)求過多權(quán)限。更糟糕的是，用戶在上傳文件前的授權(quán)提示模糊不清，未能明確告知實(shí)際授權(quán)范圍，增加了安全風(fēng)險(xiǎn)。

Oasis 團(tuán)隊(duì)警告，授權(quán)過程中使用的 OAuth 令牌常以明文形式存儲(chǔ)在瀏覽器的會(huì)話存儲(chǔ)中，極易被攻擊者竊取。此外，部分授權(quán)流程還會(huì)發(fā)放 refresh tokens，允許應(yīng)用在當(dāng)前 tokens 過期后無需用戶再次登錄即可獲取新 tokens，從而持續(xù)訪問用戶數(shù)據(jù)。

這種機(jī)制進(jìn)一步放大風(fēng)險(xiǎn)，可能導(dǎo)致個(gè)人及企業(yè)用戶的數(shù)據(jù)長(zhǎng)期暴露。目前，微軟已收到漏洞報(bào)告并確認(rèn)問題，但尚未推出修復(fù)措施。

【來源： IT之家】