1. 科技訊首頁
  2. 新聞

微軟OneDrive曝重大安全漏洞 文件選擇器權限失控威脅用戶數(shù)據(jù)

Microsoft ? ? 新聞
微軟OneDrive曝重大安全漏洞 文件選擇器權限失控威脅用戶數(shù)據(jù)

今日,網(wǎng)絡安全團隊Oasis Research Team披露微軟OneDrive存在高危安全漏洞,其文件選擇器因權限控制缺陷可能導致大規(guī)模數(shù)據(jù)泄露。該漏洞源于微軟OneDrive的OAuth授權機制設計缺陷——即使用戶僅需上傳單個文件,系統(tǒng)仍默認要求對整個云存儲驅動器的完全讀取權限。

值得關注的是,授權界面未清晰展示實際權限范圍,用戶往往在不知情狀態(tài)下開放全部文件訪問權。更為嚴重的是,OAuth令牌以明文形式存儲于瀏覽器會話中,結合可長期生效的refresh tokens機制,攻擊者可借此持續(xù)竊取用戶云盤數(shù)據(jù),造成企業(yè)和個人敏感信息暴露。技術團隊指出,該漏洞尤其威脅依賴OneDrive協(xié)作辦公的企業(yè)用戶,攻擊者一旦截獲令牌,可繞過二次驗證直接訪問團隊共享文檔、財務數(shù)據(jù)等核心資產。

盡管微軟已確認漏洞存在并承諾修復,但截至發(fā)稿尚未發(fā)布補丁程序。這已是微軟云服務今年第二次曝出重大安全隱患,此前Azure多因素認證系統(tǒng)漏洞曾導致數(shù)百萬賬戶面臨風險。安全專家建議用戶近期謹慎使用第三方應用接入OneDrive功能,同時定期檢查已授權應用列表,及時撤銷可疑權限。微軟發(fā)言人表示,正在開發(fā)精細化權限分級方案,未來將更新更明確的風險提示界面。

原創(chuàng)文章,作者:Microsoft,如若轉載,請注明出處:http://m.2079x.cn/article/721675.html

Microsoft的頭像Microsoft認證作者

相關推薦

發(fā)表回復

登錄后才能評論