В Microsoft Teams обнаружены важные уязвимости

24 декабря 2021

В популярном корпоративном мессенджере Microsoft Teams нашлись важные уязвимости. Это еще одно напоминание о том, что публичные сервисы не дают гарантий безопасности в принципе.

Что произошло

Группа кибербезопасности из Германии Positive Security обнародовала четыре уязвимости Microsoft Teams. Из сообщения следует, что разработчик был уведомлен о них еще в марте, отмечает «Коммерсант». Более того, Microsoft недоплатил за обнаружение одной критической уязвимости и не исправил остальные, утверждает компания.

Самая явная уязвимость — возможность подменить превью ссылки и увести пользователя на фишинговый сайт либо скрыть вредоносную ссылку. Кроме того, мессенджер на платформе Android позволяет посторонним агентам получить IP-адрес пользователя и служебную информацию.

В Microsoft «Коммерсанту» сказали, что изучили все четыре уязвимости и «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности». А утечка IP-адресов на Android закрыта.

Почему это важно

Microsoft Teams - четвертая по популярности платформа среди мессенджеров и пятая среди сервисов видеоконференций у российских корпоративных пользователей (по данным TrueConf, 6% и 9% соответственно). Как изначально корпоративный продукт, она считается более защищенной, чем лидирующие WhatsApp или Zoom.

Самую большую угрозу из названных уязвимостей представляет подмена превью, цитирует «Коммерсант» старшего исследователя угроз информационной безопасности «Лаборатории Касперского» Бориса Ларина: «В результате недостаточно внимательные пользователи могут стать жертвами, например, фишинговой атаки».

По значению и охвату обнаруженные уязвимости не идут ни в какое сравнение с катастрофой Apache Log4j, о которой мы рассказывали в технорассылке. После того, как они стали публичными, Microsoft придется их закрыть, но, как всегда, останется вопрос, сколько еще «дыр» в защите осталось. В широком смысле это еще раз демонстрирует, что действительно защищенными могут быть только автономные видеосервисы и мессенджеры внутри компании. Однако они требуют значительных затрат и квалифицированных IT-специалистов, которых в России не хватает.

#кибербезопасность

Скопировать ссылку

Новости

Пункты с приложениями: что известно о новом мирном плане США

четыре часа назад

Источник:

The Bell

Контуры «нового» мирного плана администрации Трампа по Украине проясняются: его даже показали Zn. ua. Издание пишет, что из принципиально неприемлемых для Украины пунктов из него безусловно исключен только один — об амнистии всем участникам войны.

Новости

Disney вложит $1 млрд в OpenAI и отдаст ей своих героев

29 минут назад

Источник:

The Bell

The Walt Disney Company в соответствии с трехлетним соглашением инвестирует в OpenAI $1 млрд. Но главное в сделке не это, а то, что анимационный гигант разрешит использовать в ChatGPT и генераторе видео Sora больше 200 своих персонажей, включая вселенные Marvel, Star Wars и мультфильмы Pixar.

Новости

Cisco вернулась на уровень пузыря доткомов спустя четверть века

32 минуты назад

Источник: Bloomberg

Cisco вернулась к рекордному уровню спустя четверть века — отчасти благодаря буму инвестиций в искусственный интеллект. В ходе широкого ралли американского рынка после третьего подряд снижения ставки ФРС акции компании в среду выросли на 0,9% и достигли $80,25. Предыдущий рекорд, установленный 27 марта 2000 года, стал символом разгара дотком-пузыря. Nasdaq 100 удалось вернуться на прежний уровень только в конце 2015 года.

Новости

МЭА сообщило о падении нефтяных доходов России до минимума с начала войны

пять часов назад

Источник: МЭА

Международное энергетическое агентство ожидает, что в этом году нефтедобыча увеличится на 3 млн баррелей в сутки, а в 2026-м — на 2,4 млн. Ноябрьский прогноз был чуть выше — 3,1 млн и 2,5 млн баррелей соответственно.