研究人员披露 Microsoft Teams 的远程代码执行漏洞

安全
WinterIsComing (31822)发表于 2020年12月08日 14时45分 星期二
来自部门
研究人员在 GitHub 上披露了 Microsoft Teams 已修复的远程代码执行漏洞,抱怨微软认为这个漏洞危险等级非常低,称漏洞利用无需用户交互能像蠕虫一样传播。研究人员是在 8 月 31 日向微软报告了该 bug,10 月底修复。该漏洞能通过向 teams.microsoft.com 进行跨站脚本注入触发,一个特制的聊天信息可以发送给任何 Microsoft Teams 成员或频道,无需用户交互就能在受害者机器上执行任意代码。漏洞允许攻击者完全访问受害者设备并通过这些设备访问公司内网。