奇客 研究人員披露 Microsoft Teams 的遠(yuǎn)程代碼執(zhí)行漏洞
研究人員在 GitHub 上披露了 Microsoft Teams 已修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞,抱怨微軟認(rèn)為這個(gè)漏洞危險(xiǎn)等級(jí)非常低,稱漏洞利用無需用戶交互能像蠕蟲一樣傳播。研究人員是在 8 月 31 日向微軟報(bào)告了該 bug,10 月底修復(fù)。該漏洞能通過向 teams.microsoft.com 進(jìn)行跨站腳本注入觸發(fā),一個(gè)特制的聊天信息可以發(fā)送給任何 Microsoft Teams 成員或頻道,無需用戶交互就能在受害者機(jī)器上執(zhí)行任意代碼。漏洞允許攻擊者完全訪問受害者設(shè)備并通過這些設(shè)備訪問公司內(nèi)網(wǎng)。
