Хит-парад убогих уязвимостей Microsoft

Все блоги / Про интернет 24 июня 2021 159

Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, исправляющие ошибки. Но статистика — вещь непредвзятая. Согласно «ежегодному отчету об уязвимостях Microsoft« от компании BeyondTrust, за 2020 год было обнаружено 1268 уязвимостей, из которых критических — 132. В этой статье взглянем на самые странные и глупые уязвимости, которые были найдены в продуктах от Microsoft.

Microsoft Teams и .GIF файлы

В апреле 2020 года CyberArk опубликовала статью об уязвимости в Microsoft Teams, позволяющей злоумышленникам получить доступ к аккаунту жертвы с помощью одного лишь .GIF изображения.

Суть уязвимости в следующем: чтобы убедиться, что пользователь получает предназначенное для него изображение, в Microsoft Teams используются два токена для аутентификации: authtoken и skypetoken. Authtoken позволяет загружать изображения на доменах Teams и Skype, а затем генерирует skypetoken. Skypetoken используется для аутентификации на сервере, обрабатывающем действия клиента, например чтение и отправка сообщений.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Microsoft заплатит до $250 тысяч за найденные в Windows 10 уязвимости

Microsoft запустила программу вознаграждения хакеров за найденные уязвимости, которая называется Windows Bounty Program. Об этом говорится в блоге компании.

подробнее »

27 июля 2017

Специалист по безопасности Google нашел ряд уязвимостей в продуктах Microsoft

17 июня Microsoft предупредила об уязвимости в своем ПО и выпустила патч для него. Проблема касалась программного обеспечения, связанного с защитой от хакеров. Выявил ее не инженер Microsoft, а сотрудник Google Тэвис Орманди, который не первый год отслеживает ошибки корпорации-конкурента.

подробнее »

19 июня 2014

«Итальянская забастовка» Google против Microsoft: поисковик публикует уязвимости Windows до выхода патчей

"90 дней для устранения уязвимости достаточно каждому" - примерно под таким лозунгом Google в последнее время общается с Microsoft на тему багов в софте последнего. Конфликт компаний разгорелся из-за специального проекта Google Project Zero, который был создан в июле 2014 года специально для поиска

подробнее »

16 января 2015

Microsoft открыла бесплатный доступ к корпоративному мессенджеру Teams

До этого сервис-аналог Slack работал только по подписке на пакет Office 365.

подробнее »

12 июля 2018

[Перевод] Мы нашли опасную уязвимость в Microsoft Teams, но компания устранила её только спустя два месяца

TL;DR: 31 августа 2020 года мы сообщили о критически опасных багах исполнения удалённого кода в Microsoft Teams. 30 сентября 2020 года Microsoft присвоила им рейтинг «Important, Spoofing» («Важно, спуфинг») — один из наиболее низких. В нашей команде мгновенно родилась новая шутка. Microsoft

подробнее »

10 декабря 2020

Microsoft исправила уязвимости в своих продуктах

Microsoft выпустила набор обновлений для своих продуктов, которые закрывают 44 уязвимости в различных компонентах Windows, а также Office. Особенность данного выпуска обновлений в том, что в его рамках было исправлено целых пять 0day уязвимостей, которые используются атакующими в кибератаках. Одна

подробнее »

12 октября 2016