Хит-парад убогих уязвимостей Microsoft
Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, исправляющие ошибки. Но статистика — вещь непредвзятая. Согласно «ежегодному отчету об уязвимостях Microsoft« от компании BeyondTrust, за 2020 год было обнаружено 1268 уязвимостей, из которых критических — 132. В этой статье взглянем на самые странные и глупые уязвимости, которые были найдены в продуктах от Microsoft.
Microsoft Teams и .GIF файлы
В апреле 2020 года CyberArk опубликовала статью об уязвимости в Microsoft Teams, позволяющей злоумышленникам получить доступ к аккаунту жертвы с помощью одного лишь .GIF изображения.
Суть уязвимости в следующем: чтобы убедиться, что пользователь получает предназначенное для него изображение, в Microsoft Teams используются два токена для аутентификации: authtoken и skypetoken. Authtoken позволяет загружать изображения на доменах Teams и Skype, а затем генерирует skypetoken. Skypetoken используется для аутентификации на сервере, обрабатывающем действия клиента, например чтение и отправка сообщений.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Налоги, Telegram и абсурд происходящего
- Как стать автором патента на изобретение и получить его за 2,5 месяца
- Сеть, в которой живут агенты: кто нажал Enter и как это проверить
- Не только про производительность — как балансировщик нагрузки обеспечивает отказоустойчивость
- Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников
- ИИ против ИИ: кто победит в кибербезопасности
- Cloud Security Day 2026: что реально обсуждали на сцене и в кулуарах
- Апрельский «В тренде VM»: уязвимость в Microsoft SharePoint
- Цифровая тень: что скрывают под капотом популярные Android-приложения (результаты аудита)
- Это ты на фото? SMS-RAT. Методы обфускации