Янв
9

Брешь в защите Microsoft Office 365 позволяла злоумышленникам получать учетные данные пользователей

Автор Flashback    Рубрики Новости     Теги

В клауд-сервисе корпорации Microsoft Office 365 имеется ошибка в системе идентификации юзеров, что ставила под угрозу личные данные пользователей системы. Такую информацию сообщил в собственном интернет-блоге Ноам Лиран (англ. Noam Liran), который является управляющим отдела по исследованию архитектуры ПО Adallom.
Кстати, если вы предпочитаете проверенные версия Офиса от «Майкрософт», а не облачные сервисы, то как вариант можно скачать Ворд 2003 бесплатно на сайте needed-soft.ru.
office_365
Office 365 запрашивает у юзеров авторизации в их учетной записи, а вот при загрузке документов с сервиса SharePoint он сравнивает логин и пароль пользователя, посылая токен контроля подлинности.
Токен обязан отсылаться исключительно в случае, если сервер располагается на домене sharepoint. Однако же Лиран обнаружил, что, запустив свой сервер, что будет действовать точно так, как настоящий сервер SharePoint, ПК юзера все равно отошлет на него токен контроля подлинности.
Лиран заявил:
«Ныне мой зловредный веб-сервер, что имеет ваш токеном контроля подлинности для Office 365, так что я смогу зайти на ваш сайт в сервисе SharePoint, скачать все документы, изменить их либо совершить хоть какое другое действие. А вы никогда этого даже не узнаете ничего. Это безупречное преступление.»
Microsoft прореагировала на имеющуюся брешь в защите, выпустив бюллетень безопасности.
© RCE.SU

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>