آسیبپذیری شدید XSS در نرم افزار مایکروسافت تیمز
یک محقق امنیتی، آسیب پذیری شدید XSS را شناسایی کرد که بر نرم افزار مایکروسافت تیمز تأثیر می گذاشت. بهرهبرداری از این آسیب صرفاً مستلزم این بود که یک مهاجم استیکر دستکاری شده مخرب را از طریق این برنامه ارسال کند. یک محقق امنیتی به نام Numan Turle بیان کرد که چگونه این باگ را در حین بررسی مایکروسافت تیمز کشف کرد. این محقق عمدتاً بر نحوه عملکرد ویژگی Teams که امکان ارسال و دریافت استیکرها را می دهد تمرکز کرد. به طور خاص، Turle متوجه شد که Teams استیکر را در حین ارسال به عنوان یک پیام RichText/Html به تصویر تبدیل می کند. پس از ارسال استیکر، محقق مشاهده کرد که با ضربه زدن بر روی آن، ویژگی alt را در پنجرهای در پایین نمایش میدهد. اینجاست که محقق با اضافه کردن کاراکترهای خاصی که توسط برنامه تفسیر شده بودند، مداخله کرد. در حالی که مایکروسافت یک CSP را برای جلوگیری از حملات XSS پیاده سازی کرد، محقق متوجه یک خطای CSP شد که امکان حملات تزریق HTML را فراهم می کرد. مایکروسافت این باگ را اصلاح نمود. پس از کشف این آسیبپذیری، محقق مذکور از طریق برنامه پاداش باگ باونتی با مقامات مایکروسافت مذاکره کرد. این محقق در ژانویه ۲۰۲۲ این باگ را برای تیم MSRC فاش کرد و در پاسخ به آن، مایکروسافت شروع به رفع آن نمود. در نهایت، این غول فناوری آسیبپذیری مذکور را رفع نمود. بنابراین اکنون، کاربران تیم های مایکروسافت نیازی به نگرانی در مورد بهره برداری احتمالی از طریق این باگ را ندارند. با این وجود، کاربران باید آخرین نسخه های برنامه را روی دستگاه های خود اجرا کنند تا از دریافت وصله اطمینان حاصل شود.
منبع:https://latesthackingnews.com
چاپ 
ارسال به دوست
_22462.png )