微软OneDrive文件选取器曝严重安全漏洞:单文件上传即可被获取全部云盘权限 安全研究团队Oasis披露,微软OneDrive文件选取器存在OAuth权限范围过宽及用户授权界面误导问题,攻击者可借此让网站或应用获得用户完整云盘访问权限,即便用户仅选择上传单一文件。此漏洞影响包括ChatGPT、Slack、Trello、ClickUp等集成OneDrive的多款应用。 漏洞成因在于OneDrive缺乏细粒度的OAuth授权,仅提供整盘读取权限,且授权弹窗提示模糊,用户难以知悉实际风险。报告还指出,授权令牌通常明文保存在浏览器会话存储中,存在被窃取风险,且刷新令牌机制允许应用持续访问用户数据,增加安全隐患。 微软已确认该问题但暂未修复。研究团队建议,临时停用通过OAuth的OneDrive文件上传功能,或避免使用刷新令牌,并确保令牌安全存储、及时销毁。
为什么美国和中国的科技战中,他们不敢直接禁止我国使用windows系统?其实最开
【12评论】【7点赞】
