一个已经修复了一个月的微软系统漏洞今天在HackerNews突然火了。
不仅如此,开发者还在GitHub中专门针对该漏洞设置了项目。
然而,大家的焦点热议的不是漏洞本身,而是原本就很严重的漏洞。然而,微软已经将其标记为最低级别,并尽力淡化其影响。
漏洞修复速度也慢。
微软的实践把大问题变成小问题引来了网友的一致评论,甚至有人翻出了微软 旧账。
这个漏洞有多严重?微软真的是为错误辩护?
什么样的漏洞?
今年8月,微软团队协作工具Microsoft Teams被指出存在严重的远程执行漏洞。
此远程代码执行漏洞可由teams . Microsoft . com 新XSS(跨站点脚本)注入。
在没有用户交互的情况下,在黑客受害者的PC上执行任意代码。
团队所有支持平台(Windows、macOS、Linux)上的桌面应用程序可能会受到影响。
攻击者只需要发送一条对团队中的目标来说看起来正常的消息。受害者只需点击查看消息,然后远程执行代码。
整个过程不需要任何其他的交互。
在演示中,攻击者只需要发送一个非交互式的HTTP请求。
当远程代码开始执行时,可以看到屏幕上有模板字符串注入闪烁,但普通用户很难察觉。
此后,该公司的内部网络、个人文件、办公文档/电子邮件/笔记、加密聊天记录等。都会被攻击或者被偷。
将最低级别?
Microsoft将此漏洞归类为重要和欺骗性,这几乎是Office365云漏洞赏金计划中最低级别的漏洞。
但是就漏洞本身造成的危害而言,团队漏洞可能会导致:
在不与受害者互动的情况下,在私人设备上任意执行命令(隐藏)。
除了团队,你还可以访问私人聊天,文件,内部网络,私人密钥和个人数据。
访问SSO令牌,这样就可以调用团队之外的其他微软服务(Outlook、Office365等。).
通过重定向到攻击者的网站或要求SSO凭据,您可能会受到网络钓鱼的攻击。
记录键盘输入。
使用这种攻击方式还有一个致命的危害,就是可以将执行代码做成蠕虫,通过团队的用户关系网络自动传播。
GitHub用户Oskarsve表示,他们的团队甚至诞生了一个新的stem :现在只要有远程执行bug,就会说重要和欺骗性。
由于危害大,隐蔽性强,传染性强,这个漏洞被定位在最底层,今年8月份就被发现了,直到11月份才被彻底修复。
微软网民的态度是主要原因不满。
微软:没有解释的义务。
微软团队漏洞被发现后,Github用户oskarsve多次向微软安全响应中心举报,并详细列举了该漏洞可能造成的严重后果。
三个月后,微软终于有了结论,给了这个漏洞最低级别。
同时,微软也给出了一个不可思议的解释:
桌面的漏洞是超出范围。
但是桌面应用是大多数用户使用团队的方式。
奥斯卡认为微软的做法令人发指,给出的指令对用户敷衍了事。
漏洞修复后,微软拒绝回应用户关于bug危害性的质疑和询问。
11月底,微软补充道:
根据微软目前的政策,对于可以自动更新的产品,不需要做CVE(一般漏洞披露)。
回复慢,拒绝沟通的态度惹恼了很多用户。
Oskarsve在GitHub建了一个关于这件事的主页,详细列出了时间线。Hackernews炸开了锅。
大家都翻了微软的黑历史。
例如,有用户反映微软对于自家产品的漏洞,一直以来的态度都是将问题最小化,不做解释。
早在20年前,当IE5浏览器上线时,要报告bug,你必须用信用卡支付100美元的押金。
如果bug是真的,就退100美元。如果没有bug,100美元将作为浪费微软的补偿是时候了。「总督」
后来有人详细解释了当时的政策:
项目费用是微软的服务费的技术支持电话。如果这被证明是微软的一个错误,用户不会我不必支付这笔费用。
此外,有用户表示,IE7时代,浏览器和ClickOnce启动器不兼容,向微软团队举报数月无果。
最后引起了微软和ClickOnce工作人员的争议。
这个问题直到Edge浏览器时代依然存在。
翻看慧聪网上关于这条新闻的评论,有240多条讨论,大部分都是这样的故事。
微软苹果在台式PC上的优势和垄断很难被打破,用户长期以来深受其害.
微软漏洞有没有让你难受过?编辑:pj
标签:微软漏洞团队