Více
    5.2 C
    Czech
    Čtvrtek 30. března 2023

    Microsoft Teams má již od března několik bezpečnostních zranitelností

    Bezpečnostní výzkumníci objevili čtyři závažné zranitelnosti v Microsoft Teams. Ty může útočník zneužít k zjištění IP adres, skrytí škodlivých odkazů, a dokonce i k přístupu k interním službám Microsoftu.

    Na bezpečnostní chyby „nechtěně“ narazili výzkumníci ze společnosti Positive Security. A to při hledání způsobu, jak obejít zásady stejného původu (SOP) v aplikaci Teams. SOP je bezpečnostní mechanismus, který se nachází v prohlížečích a pomáhá zabránit vzájemnému napadání webových stránek.

    Chyby byly objeveny na začátku tohoto roku a 10. března o nich informovali výzkumníci společnost Microsoft. Až 22. prosince byly informace o zranitelnostech zveřejněny.

    Dvě ze čtyř objevených chyb se týkaly aplikace Microsoft Teams používaného na libovolném zařízení a umožňovaly „server-side request forgery“ (SSRF). Další dvě chyby se týkají pouze uživatelů s operačním systémem Android. Ty jsou označené výzkumníky jako „IP Address Leak“ (únik IP adresy) a „Denial of Service aka Message of Death“,

    Útočníci mohou jednu z chyb využít k phishingovým útokům nebo ke skrytí škodlivých odkazů v obsahu zaslaném uživatelům. Toho lze dosáhnout nastavením cíle náhledu odkazu „na libovolné místo nezávislé na hlavním odkazu, náhledovém obrázku a popisu, zobrazeném názvu hostitele nebo textu na titulní straně,“ uvedli výzkumníci.

    Chybu může útočník zneužít tak, že někomu pošle zprávu, která obsahuje odkaz s neplatným náhledem. To způsobí nepřetržitý pád aplikace, když se uživatel pokusí otevřít chat/kanál se škodlivou zprávou. Tím v podstatě zablokuje uživatele z chatu nebo kanálu.

    „Přestože objevené zranitelnosti mají omezený dopad, je překvapivé, že tak jednoduché chyby nebyly zřejmě testovány dříve a že společnost Microsoft nemá ochotu nebo prostředky na to, aby před nimi chránila své uživatele,“ uvedli výzkumníci.

    Reakce společnosti Microsoft

    25. března, 15 dní po nahlášení chyb výzkumníky, uvedla společnost: „Všechna čtyři hlášení jsme prověřili a dospěli jsme k závěru, že nepředstavují bezprostřední hrozbu, která by vyžadovala bezpečnostní opravu. Podobná hlášení jsme obdrželi již v minulosti a v poslední době jsme provedli několik vylepšení v oblasti nakládání s daty a zabezpečení obecně.“

    Ze čtyř zranitelností nakonec společnost opravila pouze tu, kterou mohli útočníci využít k získání IP adres. Po včerejším zveřejněním je ale možné, že společnost bude přinucena opravit i ostatní zranitelnosti.

    Sledujte nás na sítích

    Umělá inteligence může globálně nahradit až 300 milionů pracovních míst

    Umělá inteligence může nahradit až 300 milionů pracovních míst na plný úvazek, zvýšit nezaměstnanost a snížit platy. Pozdvihla by však produktivitu v celé ekonomice. Největším pokrokem v této oblasti je ChatGPT.

    Některé funkce Twitteru už pouze pro předplatitele, oznámil Musk

    Šéf Twitteru Elon Musk oznámil další významné změny. Ty se mají týkat předplatného Twitter Blue, které „spolkne“ některé neplacené funkce. Od nynějška budou mít přístup k doporučeným příspěvkům a anketám pouze prémiové účty.

    Část zdrojového kódu Twitteru unikla na internet

    Část zdrojového kódu Twitteru unikla na internet. Firma zahájila vyšetřování incidentu jako porušení autorských práv, které vážně ohrozilo bezpečnost sociální sítě. Panuje přesvědčení, že v tom má prsty některý z propuštěných inženýrů. Kromě toho Elon Musk přiznal, že se Twitter propadl na poloviční hodnotu.

    Šéf TikToku čelil ve Washingtonu přes čtyři hodiny dlouhému výslechu

    Generální ředitel TikToku Shou Zi Chew čelil během slyšení v americkém Kongresu čtyři a půl hodiny dlouhému výslechu demokratů i republikánů. Dostalo se mu tolik pozornosti, o níž se může většině manažerům technologických gigantů jenom zdát.

    Fatální selhání. ChatGPT umožnil nahlédnout do cizích konverzací

    Jako by té kontroverze kolem ChatGPT nestačilo, program „z pera“ OpenAI v pondělí vzbudil vážné obavy o bezpečnost soukromí. Chyba totiž umožnila uživatelům nahlédnout do cizích konverzací s jazykovým modelem a vzbudila podezření, že k nim má společnost přístup.

    NEJNOVĚJŠÍ

    Umělá inteligence může globálně nahradit až 300 milionů pracovních míst

    Umělá inteligence může nahradit až 300 milionů pracovních míst na plný úvazek, zvýšit nezaměstnanost a snížit platy. Pozdvihla by však produktivitu v celé ekonomice. Největším pokrokem v této oblasti je ChatGPT.

    Některé funkce Twitteru už pouze pro předplatitele, oznámil Musk

    Šéf Twitteru Elon Musk oznámil další významné změny. Ty se mají týkat předplatného Twitter Blue, které „spolkne“ některé neplacené funkce. Od nynějška budou mít přístup k doporučeným příspěvkům a anketám pouze prémiové účty.

    Část zdrojového kódu Twitteru unikla na internet

    Část zdrojového kódu Twitteru unikla na internet. Firma zahájila vyšetřování incidentu jako porušení autorských práv, které vážně ohrozilo bezpečnost sociální sítě. Panuje přesvědčení, že v tom má prsty některý z propuštěných inženýrů. Kromě toho Elon Musk přiznal, že se Twitter propadl na poloviční hodnotu.

    Šéf TikToku čelil ve Washingtonu přes čtyři hodiny dlouhému výslechu

    Generální ředitel TikToku Shou Zi Chew čelil během slyšení v americkém Kongresu čtyři a půl hodiny dlouhému výslechu demokratů i republikánů. Dostalo se mu tolik pozornosti, o níž se může většině manažerům technologických gigantů jenom zdát.

    Fatální selhání. ChatGPT umožnil nahlédnout do cizích konverzací

    Jako by té kontroverze kolem ChatGPT nestačilo, program „z pera“ OpenAI v pondělí vzbudil vážné obavy o bezpečnost soukromí. Chyba totiž umožnila uživatelům nahlédnout do cizích konverzací s jazykovým modelem a vzbudila podezření, že k nim má společnost přístup.