نقص انتخابگر فایل واندرایو مایکروسافت دسترسی کامل به فضای ابری میدهد
- يكشنبه, ۱۲ خرداد ۱۴۰۴، ۱۱:۲۸ ق.ظ
محققان امنیت سایبری یک نقص امنیتی در انتخابگر فایل واندرایو مایکروسافت کشف کردهاند که در صورت بهرهبرداری موفقیتآمیز، به وبسایتها اجازه می دهد به کل محتوای ذخیرهسازی ابری کاربر دسترسی پیدا کنند.
بنابراعلام تیم تحقیقاتی اوسیس، چندین برنامه مانند ChatGPT، Slack، Trello و ClickUp با توجه به ادغام آنها با سرویس ابری مایکروسافت تحت تأثیر قرار گرفتهاند.
این مشکل نتیجه مجوزهای بیش از حد درخواست شده توسط انتخابگر فایل واندرایو است که به دلیل عدم وجود دامنههای دقیق OAuth برای واندرایو، به دنبال دسترسی خواندن به کل درایو است، حتی در مواردی که فقط یک فایل آپلود میشود.
اوسیس خاطرنشان کرد: «نبود دامنههای دقیق، تشخیص برنامههای مخربی که همه فایلها را هدف قرار میدهند و برنامههای قانونی که مجوزهای بیش از حد درخواست میکنند را برای کاربران غیرممکن میکند، صرفاً به این دلیل که هیچ گزینه امن دیگری وجود ندارد.»
