Více
    18 C
    Czech
    Úterý 27. února 2024

    Microsoft Teams má již od března několik bezpečnostních zranitelností

    Bezpečnostní výzkumníci objevili čtyři závažné zranitelnosti v Microsoft Teams. Ty může útočník zneužít k zjištění IP adres, skrytí škodlivých odkazů, a dokonce i k přístupu k interním službám Microsoftu.

    Na bezpečnostní chyby „nechtěně“ narazili výzkumníci ze společnosti Positive Security. A to při hledání způsobu, jak obejít zásady stejného původu (SOP) v aplikaci Teams. SOP je bezpečnostní mechanismus, který se nachází v prohlížečích a pomáhá zabránit vzájemnému napadání webových stránek.

    Chyby byly objeveny na začátku tohoto roku a 10. března o nich informovali výzkumníci společnost Microsoft. Až 22. prosince byly informace o zranitelnostech zveřejněny.

    Dvě ze čtyř objevených chyb se týkaly aplikace Microsoft Teams používaného na libovolném zařízení a umožňovaly „server-side request forgery“ (SSRF). Další dvě chyby se týkají pouze uživatelů s operačním systémem Android. Ty jsou označené výzkumníky jako „IP Address Leak“ (únik IP adresy) a „Denial of Service aka Message of Death“,

    Útočníci mohou jednu z chyb využít k phishingovým útokům nebo ke skrytí škodlivých odkazů v obsahu zaslaném uživatelům. Toho lze dosáhnout nastavením cíle náhledu odkazu „na libovolné místo nezávislé na hlavním odkazu, náhledovém obrázku a popisu, zobrazeném názvu hostitele nebo textu na titulní straně,“ uvedli výzkumníci.

    Chybu může útočník zneužít tak, že někomu pošle zprávu, která obsahuje odkaz s neplatným náhledem. To způsobí nepřetržitý pád aplikace, když se uživatel pokusí otevřít chat/kanál se škodlivou zprávou. Tím v podstatě zablokuje uživatele z chatu nebo kanálu.

    „Přestože objevené zranitelnosti mají omezený dopad, je překvapivé, že tak jednoduché chyby nebyly zřejmě testovány dříve a že společnost Microsoft nemá ochotu nebo prostředky na to, aby před nimi chránila své uživatele,“ uvedli výzkumníci.

    Reakce společnosti Microsoft

    25. března, 15 dní po nahlášení chyb výzkumníky, uvedla společnost: „Všechna čtyři hlášení jsme prověřili a dospěli jsme k závěru, že nepředstavují bezprostřední hrozbu, která by vyžadovala bezpečnostní opravu. Podobná hlášení jsme obdrželi již v minulosti a v poslední době jsme provedli několik vylepšení v oblasti nakládání s daty a zabezpečení obecně.“

    Ze čtyř zranitelností nakonec společnost opravila pouze tu, kterou mohli útočníci využít k získání IP adres. Po včerejším zveřejněním je ale možné, že společnost bude přinucena opravit i ostatní zranitelnosti.

    Sledujte nás na sítích

    Apple kritizuje Spotify kvůli vyšetřování EU a hrozící pokutě 500 milionů eur

    Společnost Apple veřejně kritizovala společnost Spotify v souvislosti s probíhajícím vyšetřováním Evropské unie (EU) týkajícím se obvinění z protisoutěžního chování. Technologickému gigantu by v případě prokázání viny mohla hrozit vysoká pokuta ve výši 500 milionů eur.

    Anglie se chystá zakázat používání mobilních telefonů ve školách

    Vláda Spojeného království vydala nové pokyny, jejichž cílem je omezit používání mobilních telefonů během vyučovacích hodin v Anglii. Cílem tohoto kroku, který je součástí plánu na "minimalizaci rušení a zlepšení chování ve třídách", je zajistit jednotný přístup ve všech školách, z nichž mnohé již zákaz používání telefonů zavedly.

    NEJNOVĚJŠÍ

    Apple kritizuje Spotify kvůli vyšetřování EU a hrozící pokutě 500 milionů eur

    Společnost Apple veřejně kritizovala společnost Spotify v souvislosti s probíhajícím vyšetřováním Evropské unie (EU) týkajícím se obvinění z protisoutěžního chování. Technologickému gigantu by v případě prokázání viny mohla hrozit vysoká pokuta ve výši 500 milionů eur.

    Anglie se chystá zakázat používání mobilních telefonů ve školách

    Vláda Spojeného království vydala nové pokyny, jejichž cílem je omezit používání mobilních telefonů během vyučovacích hodin v Anglii. Cílem tohoto kroku, který je součástí plánu na "minimalizaci rušení a zlepšení chování ve třídách", je zajistit jednotný přístup ve všech školách, z nichž mnohé již zákaz používání telefonů zavedly.