Немецкие исследователи безопасности из Positive Security нашли в Microsoft Teams четыре уязвимости. О них компания уведомила Microsoft ещё в марте, однако на данный момент была исправлена только одна из уязвимостей.
Источником брешей в безопасности оказалась функция предпросмотра ссылок — по клику может открываться не та ссылка, которую ожидает увидеть пользователь. По словам исследователей, злоумышленники могут использовать это для фишинговых атак и скрытия вредоносных ссылок. Вместе с тем пользователям Android может грозить утечка IP-адресов.
В Microsoft сообщили «Коммерсанту», что изучили все четыре уязвимости и «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности».
Компания получала подобные сообщения в прошлом и недавно внесла ряд улучшений для работы с данными и безопасности в целом. Сделанные изменения блокируют воспроизведение некоторых из этих уязвимостей, включая утечку IP-адресов на Android,— уточнили редмондцы.
При этом Positive Security две недели назад сообщили, что Microsoft неверно оценила масштаб проблемы и полностью отклонила её, однако после аппеляции уязвимость классифицировали как «критическую». Несмотря на это, Positive Security было выплачено только 10% от суммы вознаграждения по программе поиска уязвимостей — $5 тысяч вместо $50 тысяч.
Наибольшую опасность несёт уязвимость Spoofing, считают в «Лаборатории Касперского», так как с помощью неё можно прислать вредоносную ссылку, превью которой будет замаскировано под легитимный сайт.
