热门:微软：修复系统漏洞你们还骂我？

本篇文章1918字，读完约5分钟

贾浩楠来自凹非寺

量子报道|公众号qbitai

修复了一个月的微软系统的漏洞，今天突然在hackernews上点燃了。

不仅如此，开发者还在github上为这一漏洞制定了项目。 但是，大话题的焦点不是脆弱性本身，而是本来非常严重的脆弱性，微软努力将其标记为最低水平，淡化影响。

修复脆弱性的速度也很慢。

微软关于严重脆弱性的“大事化小”方法，也有网友一致吐槽，推翻微软的“旧账”的人。

这种脆弱性到底有多严重？ 微软真的是“短”的吗？

什么样的洞？

今年8月，微软团队合作工具microsoft teams被指出存在严重的远程执行漏洞。

这个远程代码执行的漏洞是由teams.microsoft的新xss (站点间脚本)注入触发的。 黑客在受害者的pc上执行任何代码，而无需客户操作。

teams支持的所有平台( windows、macos、linux )桌面应用程序都可能会受到影响

攻击者只要在teams中向目标发送看起来正常的消息即可。 受害者只需再次点击消息，远程运行代码。

整个过程不需要其他交互。 在演示中，攻击者只需要发送非交互式http请求。

开始执行远程代码时，可以看到屏幕上闪烁的模板字符串的注入，但一般客户很少注意到。

之后，企业内部网、个人文件、office文件/邮件/便签、加密聊天等将成为攻击和盗窃的对象。

定位“最低水平”，合理吗？

微软将这一脆弱性定义为“重要、不正当”，几乎是office365 cloud脆弱性奖金计划中水平最低的脆弱性。 但是，由于脆弱性本身带来的危害，teams脆弱性有以下原因。

在私人设备上任意执行命令，而不与受害者进行交互(隐蔽性)。

除了teams，您还可以访问私人聊天、文件、内部网、专用密钥和个别数据。

访问sso令牌。 这是因为除了teams(outlook、office365等)之外，还可以调用其他微软服务。

通过重定向到攻击者的网站或请求输入sso证书，可能会受到钓鱼攻击

记录键盘输入复印。

这种攻击方法也有致命的危害，即可以将执行代码蠕虫并通过teams客户关系互联网自动分发。

github客户oskarsve说，团队诞生了新的“茎”。 现在，每次远程运行bug都被称为“重要、欺诈性”。

被定位于危害大、隐蔽性强、传染性强的脆弱性最低的水平，被发现是在今年8月，直到11月才完全修复。

微软的态度是网民不满的第一原因。

微软:没有义务解释

在发现微软的teams漏洞后，github客户oskarsve多次反映在微软的安全响应中心，详细展示了漏洞可能带来的严重后果。 三个月后，微软方面终于得出结论，对这种脆弱性给予了最低水平。

而且，微软方面也作出了不可思议的证明。

应用于桌面的漏洞是“超出范围”( out of scope )。

但是桌面应用程序是大多数客户采用teams的方法。

oskarsve认为微软的方法非常奇怪，给出的证明也是欺骗顾客。

修复漏洞后，微软拒绝回答客户的疑问和关于漏洞危害的问题。

11月末，微软方面又增加了一个:

目前的微软策略不需要自动更新产品的常见漏洞披露( cve )。

回复晚，拒绝交流的态度激怒了很多顾客。

oskarsve在github上就这件事做了主页，详细列举了时间线，hackernews一下子炸了锅。 大家纷纷翻过微软的黑色历史。 例如，微软对于本公司产品的脆弱性，总是大事化小，有顾客反映的态度。

20年前ie5浏览器上线时，我必须用信用卡支付100美元的存款才能报告bug。

如果bug是真实的，我会退款100美元，如果没有bug，100美元是浪费微软时间的补偿。 “doge”

后来，有人详细证明了当时的政策。

收款项目是微软技术支持电话的服务费，如果最终证明是微软方面的bug，客户就不需要支付这个费用。

另外，有些客户说，在ie7时代，浏览器和clickonce启动器不兼容，即使向微软团队反映了几个月也没有结果。 最后也引起了微软和clickonce员工之间的争论。

这个问题直到edge浏览器时代为止依然存在。 在hc上翻阅关于这个新闻的评论，240多个讨论大多是这样的故事。

微软在台式pc上的特点和垄断很难打破，客户痛苦了很久……。

微软的bug有让你伤心的经历吗？

参考链接:

news.ycombinator/item？ id=25331407

github/oskarsve/ms-teams-rce

——完

本文是网易信息网易号特色文案激励计划合同账号【量子位】原创文案，未经账号授权，禁止擅自转载。

原标题:“微软:修复系统漏洞。 你们骂我吗？ ？ ？ 』

阅读原文。