Více
    2 C
    Czech
    Čtvrtek, 20 ledna, 2022

    Microsoft Teams má již od března několik bezpečnostních zranitelností

    Reklama

    DOPORUČUJEME

    NEJČTENĚJŠÍ

    Bezpečnostní výzkumníci objevili čtyři závažné zranitelnosti v Microsoft Teams. Ty může útočník zneužít k zjištění IP adres, skrytí škodlivých odkazů, a dokonce i k přístupu k interním službám Microsoftu.

    Na bezpečnostní chyby „nechtěně“ narazili výzkumníci ze společnosti Positive Security. A to při hledání způsobu, jak obejít zásady stejného původu (SOP) v aplikaci Teams. SOP je bezpečnostní mechanismus, který se nachází v prohlížečích a pomáhá zabránit vzájemnému napadání webových stránek.

    Chyby byly objeveny na začátku tohoto roku a 10. března o nich informovali výzkumníci společnost Microsoft. Až 22. prosince byly informace o zranitelnostech zveřejněny.

    Dvě ze čtyř objevených chyb se týkaly aplikace Microsoft Teams používaného na libovolném zařízení a umožňovaly „server-side request forgery“ (SSRF). Další dvě chyby se týkají pouze uživatelů s operačním systémem Android. Ty jsou označené výzkumníky jako „IP Address Leak“ (únik IP adresy) a „Denial of Service aka Message of Death“,

    Útočníci mohou jednu z chyb využít k phishingovým útokům nebo ke skrytí škodlivých odkazů v obsahu zaslaném uživatelům. Toho lze dosáhnout nastavením cíle náhledu odkazu „na libovolné místo nezávislé na hlavním odkazu, náhledovém obrázku a popisu, zobrazeném názvu hostitele nebo textu na titulní straně,“ uvedli výzkumníci.

    Chybu může útočník zneužít tak, že někomu pošle zprávu, která obsahuje odkaz s neplatným náhledem. To způsobí nepřetržitý pád aplikace, když se uživatel pokusí otevřít chat/kanál se škodlivou zprávou. Tím v podstatě zablokuje uživatele z chatu nebo kanálu.

    „Přestože objevené zranitelnosti mají omezený dopad, je překvapivé, že tak jednoduché chyby nebyly zřejmě testovány dříve a že společnost Microsoft nemá ochotu nebo prostředky na to, aby před nimi chránila své uživatele,“ uvedli výzkumníci.

    Reakce společnosti Microsoft

    25. března, 15 dní po nahlášení chyb výzkumníky, uvedla společnost: „Všechna čtyři hlášení jsme prověřili a dospěli jsme k závěru, že nepředstavují bezprostřední hrozbu, která by vyžadovala bezpečnostní opravu. Podobná hlášení jsme obdrželi již v minulosti a v poslední době jsme provedli několik vylepšení v oblasti nakládání s daty a zabezpečení obecně.“

    Ze čtyř zranitelností nakonec společnost opravila pouze tu, kterou mohli útočníci využít k získání IP adres. Po včerejším zveřejněním je ale možné, že společnost bude přinucena opravit i ostatní zranitelnosti.

    Sledujte nás na sítích

    NEJNOVĚJŠÍ

    Intel plánuje v únoru vydat specializovaný čip pro těžbu bitcoinů

    Intel plánuje v únoru vydat specializovaný čip pro těžbu bitcoinů

    Svůj specializovaný čip s názvem Bonanza Mine představí čipový gigant na Mezinárodní konferenci o polovodičových obvodech (ISSCC). Informace vyplívají z oficiální agendy konference.
    Prohlížeč Safari není tak bezpečný, jak Apple říká. Nová chyba umožňuje útočníkovi získat vaši historii procházení

    Prohlížeč Safari není tak bezpečný, jak Apple říká. Nová chyba umožňuje útočníkovi získat vaši historii procházení

    Nová zranitelnost v prohlížeči Safari 15 může způsobit únik vaší historie procházení a také odhalit některé osobní údaje připojené k vašemu účtu Google. Informovala o tom služba FingerprintJS, která se zaměřuje na bezpečnost a soukromí prohlížečů.
    Na internetu se objevil manuál pro chystané chytré hodinky Starfield

    Na internetu se objevil manuál pro chystané chytré hodinky Starfield

    Chystaná hra Starfield společnosti Bethesda bude obsahovat chytré hodinky, které si budete moci pořídit i v reálném životě. Informace unikly z rané kopie manuálu, kterou na internetu našel uživatel Redditu u/SquiddyVonn. Starfield je akční RPG s vesmírnou tématikou, které ma vyjít 11. listopadu.
    Litra Glow

    Logitech for Creators přichází s dalším produktem. Tentokrát se jedná o levné světlo pro streamery

    Pro streamery a tvůrce videí je dobré osvětlení základ úspěchu. Proto společnost Logitech pod svou značkou Logitech for Creators představila nové osvětlovací zařízení s názvem Litra Glow. Podle společnosti dokáže světlo zajistit přirozený a zářivý vzhled u všech odstínů pleti.
    Canon tiskárna

    Nedostatek polovodičů zasáhl i společnost Canon. Ta musela začít vyrábět své tonerové kazety bez čipů

    Světový nedostatek čipů zasáhl dokonce i výrobce tiskáren. Čipy se nevyužívají jen v samotných tiskárnách, ale i v tonerových kazetách, díky kterým může tiskárna zjistit autentizaci kazety a hladinu inkoustu. Společnost Canon byla nucena začít vyrábět inkoustové kazety bez čipů, se kterými některé tiskárny odmítají pracovat.
    Samsung představil novou OLED technologii s názvem QD-OLED. Má mít širší barevný gamut a vyšší jas

    Samsung představil novou OLED technologii s názvem QD-OLED. Má mít širší barevný gamut a vyšší jas

    Pokud jste tento rok plánovali koupit OLED televizi či monitor, možná byste měli ještě chvíli počkat. Důvodem je nová technologie QD-OLED od Samsungu, která se do zařízení dostane oficiálně v roce 2022.
    Reklama
    Reklama
    Reklama