江蘇
關鍵詞
安全漏洞
網絡安全團隊 Oasis Research Team 于 5 月 28 日發布博文,報告稱微軟 OneDrive 文件選擇器(File Picker)存在嚴重安全漏洞。
IT之家援引博文介紹,該團隊表示這個漏洞的根源,在于文件選擇器請求的權限過于寬泛,缺乏精細化的 OAuth 權限范圍控制。即便用戶僅上傳單個文件,文件選擇器,也會要求對整個云存儲驅動器的讀取權限。
這樣的設計讓用戶難以分辨哪些應用是惡意索取全部文件訪問權限,哪些應用只是因為缺乏安全選項而被迫請求過多權限。更糟糕的是,用戶在上傳文件前的授權提示模糊不清,未能明確告知實際授權范圍,增加了安全風險。
Oasis 團隊警告,授權過程中使用的 OAuth 令牌常以明文形式存儲在瀏覽器的會話存儲中,極易被攻擊者竊取。此外,部分授權流程還會發放 refresh tokens,允許應用在當前 tokens 過期后無需用戶再次登錄即可獲取新 tokens,從而持續訪問用戶數據。
這種機制進一步放大風險,可能導致個人及企業用戶的數據長期暴露。目前,微軟已收到漏洞報告并確認問題,但尚未推出修復措施。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
