本篇文章1918字,读完约5分钟
贾浩楠来自凹非寺
量子报道|公众号qbitai
修复了一个月的微软系统的漏洞,今天突然在hackernews上点燃了。
不仅如此,开发者还在github上为这一漏洞制定了项目。 但是,大话题的焦点不是脆弱性本身,而是本来非常严重的脆弱性,微软努力将其标记为最低水平,淡化影响。
修复脆弱性的速度也很慢。
微软关于严重脆弱性的“大事化小”方法,也有网友一致吐槽,推翻微软的“旧账”的人。
这种脆弱性到底有多严重? 微软真的是“短”的吗?
什么样的洞?
今年8月,微软团队合作工具microsoft teams被指出存在严重的远程执行漏洞。
这个远程代码执行的漏洞是由teams.microsoft的新xss (站点间脚本)注入触发的。 黑客在受害者的pc上执行任何代码,而无需客户操作。
teams支持的所有平台( windows、macos、linux )桌面应用程序都可能会受到影响
攻击者只要在teams中向目标发送看起来正常的消息即可。 受害者只需再次点击消息,远程运行代码。
整个过程不需要其他交互。 在演示中,攻击者只需要发送非交互式http请求。
开始执行远程代码时,可以看到屏幕上闪烁的模板字符串的注入,但一般客户很少注意到。
之后,企业内部网、个人文件、office文件/邮件/便签、加密聊天等将成为攻击和盗窃的对象。
定位“最低水平”,合理吗?
微软将这一脆弱性定义为“重要、不正当”,几乎是office365 cloud脆弱性奖金计划中水平最低的脆弱性。 但是,由于脆弱性本身带来的危害,teams脆弱性有以下原因。
在私人设备上任意执行命令,而不与受害者进行交互(隐蔽性)。
除了teams,您还可以访问私人聊天、文件、内部网、专用密钥和个别数据。
访问sso令牌。 这是因为除了teams(outlook、office365等)之外,还可以调用其他微软服务。
通过重定向到攻击者的网站或请求输入sso证书,可能会受到钓鱼攻击
记录键盘输入复印。
这种攻击方法也有致命的危害,即可以将执行代码蠕虫并通过teams客户关系互联网自动分发。
github客户oskarsve说,团队诞生了新的“茎”。 现在,每次远程运行bug都被称为“重要、欺诈性”。
被定位于危害大、隐蔽性强、传染性强的脆弱性最低的水平,被发现是在今年8月,直到11月才完全修复。
微软的态度是网民不满的第一原因。
微软:没有义务解释
在发现微软的teams漏洞后,github客户oskarsve多次反映在微软的安全响应中心,详细展示了漏洞可能带来的严重后果。 三个月后,微软方面终于得出结论,对这种脆弱性给予了最低水平。
而且,微软方面也作出了不可思议的证明。
应用于桌面的漏洞是“超出范围”( out of scope )。
但是桌面应用程序是大多数客户采用teams的方法。
oskarsve认为微软的方法非常奇怪,给出的证明也是欺骗顾客。
修复漏洞后,微软拒绝回答客户的疑问和关于漏洞危害的问题。
11月末,微软方面又增加了一个:
目前的微软策略不需要自动更新产品的常见漏洞披露( cve )。
回复晚,拒绝交流的态度激怒了很多顾客。
oskarsve在github上就这件事做了主页,详细列举了时间线,hackernews一下子炸了锅。 大家纷纷翻过微软的黑色历史。 例如,微软对于本公司产品的脆弱性,总是大事化小,有顾客反映的态度。
20年前ie5浏览器上线时,我必须用信用卡支付100美元的存款才能报告bug。
如果bug是真实的,我会退款100美元,如果没有bug,100美元是浪费微软时间的补偿。 “doge”
后来,有人详细证明了当时的政策。
收款项目是微软技术支持电话的服务费,如果最终证明是微软方面的bug,客户就不需要支付这个费用。
另外,有些客户说,在ie7时代,浏览器和clickonce启动器不兼容,即使向微软团队反映了几个月也没有结果。 最后也引起了微软和clickonce员工之间的争论。
这个问题直到edge浏览器时代为止依然存在。 在hc上翻阅关于这个新闻的评论,240多个讨论大多是这样的故事。
微软在台式pc上的特点和垄断很难打破,客户痛苦了很久……。
微软的bug有让你伤心的经历吗?
参考链接:
news.ycombinator/item? id=25331407
github/oskarsve/ms-teams-rce
——完
本文是网易信息网易号特色文案激励计划合同账号【量子位】原创文案,未经账号授权,禁止擅自转载。
原标题:“微软:修复系统漏洞。 你们骂我吗? ? ? 』
阅读原文。
标题:热门:微软:修复系统漏洞你们还骂我?
地址:http://www.yunqingbao.cn/yqbxw/14076.html