研究人员在OneDrive文件选择器中发现安全缺陷 会授予整个云盘的访问权限
通常情况下像 OneDrive、Google Drive 这类网络云盘都会提供开放平台供第三方开发者调用,用户在授予相关权限后即可通过第三方应用程序访问云盘中的文件,这些通过 OAuth 机制进行授权。
安全研究人员 Oasis 发现微软的 OneDrive OAuth 的授权机制存在缺陷,这并非漏洞而是微软给第三方授予的权限过于宽泛,这可能导致第三方读取整个云盘中存储的文件。
具体来说 OneDrive 提供文件选择器,文件选择器指的是让用户可以检索文件并选择,然后允许第三方进行读取,微软使用的机制是既然用户需要查找文件那直接给文件选择器查看 OneDrive 所有文件的权限。
但微软可以改进机制,先允许 OneDrive 内部的文件选择器浏览全部文件并让用户选择特定文件,然后将用户选中的文件权限授予第三方,这样第三方只能读取用户选择后的文件。
Oasis 的研究团队称因为 OneDrive OAuth 范围过于宽泛,同时误导性的同意屏幕 (指用户授予第三方权限的提醒) 未能清楚解释授予的访问范围。
这个问题会导致第三方可以直接读取用户存储在 OneDrive 中的所有文件,可能造成客户数据泄露或者违反合同规定等,而且很多流行的程序例如 ChatGPT、Trello 和 Slack 等也受影响,因为这些程序也和 OneDrive 集成。
安全团队还强调上传文件时的消息传递也不够清晰,这可能会误导人们认为这些云存储解决方案时足够安全的,而缺乏细粒度的授权范围使得用户无法区分针对所有文件的恶意程序和要求权限过多的合法程序,因为用户压根没有选择。
最后使用 OAuth 存储的令牌通常也不够安全,因为这些令牌以纯文本形式保存在浏览器的会话存储中,Oasis 研究团队已经将该漏洞报告给微软并得到微软确认,不过微软暂时还未修复问题。
-
微软为Microsoft 365订阅用户推出Copilot for OneDrive
早前微软在部分市场提高 Microsoft 365 个人版和家庭版的订阅价格,微软给出的涨价原因是 Microsoft Copilot 相关的 AI 功能提供更高的价值,微软也需要对此进行更多投资。微
-
微软已修复OneDrive在macOS 15.x上打开或保存文件时出现的卡死问题
2024 年 11 月份微软确认云存储服务 OneDrive 客户端在 macOS 15.x Sequoia 中存在异常问题,具体来说当用户打开或保存文件时可能都会出现异常卡死问题。这个问题仅影响 m
-
前微软员工称微软压根不在乎你使用盗版Windows 11等产品 因为你就是产品
众所周知微软面向个人消费者的操作系统版权保护机制相对来说是比较薄弱的,影视类版权机构通常会追着盗版者投诉,但微软对于网上各种未经授权的 KMS 服务器和激活工具向来具有很高的容忍度。至于原因其实大家都
关注公众号:拾黑(shiheibook)了解更多
友情链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/

随时掌握互联网精彩
- 对标迈巴赫 余承东:尊界首款百万豪车将亮相、明年春天上市
- 《寂静岭2RE》IGN 8分:重温经典恐怖的最佳选择
- 物联网云平台架构是什么?
- 保卫萝卜4阿波与魔法宝藏第30关通关攻略
- 百合生活app v1.1.0最新版本2022下载地址
- 凤凰传奇工作室:律师函不会弄
- 魔数精灵可可 v2.9.5最新版本2022下载地址
- 购保网 v1.0最新版本2022下载地址
- Opera浏览器推送97.0.4719.26更新:集成ChatGPT与AI总结功能
- Sayako个人介绍及最新cosplay作品
- DU Privacy Vault百度隐私空间 v2.0.1.71最新版本2022下载地址
- 逛拾记 v3.0.8最新版本2022下载地址