微软严重漏洞：Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌

微软严重漏洞：Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌 安全分析师在Microsoft Teams的桌面应用程序中发现了一个严重的安全漏洞，使威胁者能够访问认证令牌和开启了多因素认证（MFA）的账户。 Microsoft Teams是一个通信平台，包括在365产品系列中，有超过2.7亿人使用，用于交换文本信息、视频会议和存储文件。 新发现的安全问题影响到Windows、Linux和Mac的应用程序版本，指的是Microsoft Teams以明文存储用户认证令牌而不保护对它们的访问。 在安装了Microsoft Teams的系统上拥有本地访问权的攻击者可以窃取令牌并使用它们来登录受害者的账户。 网络安全公司Vectra的康纳-皮珀斯（Connor Peoples）在本周的一份报告中解释说："这种攻击不需要特殊的权限或高级恶意软件就可以逃脱重大的内部破坏。"

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它 据安全公司Vectra称， Microsoft Teams以未加密的明文模式存储身份验证令牌，从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软 Electron 框架构建的 Windows、Mac 和 Linux 桌面应用程序。微软已经意识到了这个问题，但表示没有计划在短期内进行修复，因为漏洞利用还需要网络访问。 根据 Vectra 的说法，具有本地或远程系统访问权限的黑客可以窃取当前在线的任何 Teams 用户的凭据，然后即使在他们离线时也可以冒充他们。他们还可以通过与 Teams 相关的应用程序（例如 Skype 或 Outlook）假装是用户，同时绕过通常需要的多因素身份验证 (MFA)。

Microsoft Azure AD OAuth 中的严重“nOAuth”缺陷导致黑客可以使用他人帐户登录第三方网站

Microsoft Azure AD OAuth 中的严重“nOAuth”缺陷导致黑客可以使用他人帐户登录第三方网站 该安全缺陷绰号为 nOAuth，被描述为身份验证实现缺陷，攻击者只需将其Azure AD管理账户上的电子邮件改为受害者的电子邮件地址，并使用 " 使用 Microsoft 登录 "功能就可以在有漏洞的应用程序或网站上进行授权。 “在通常的 OAuth 和 OpenID Connect 实施中，用户的电子邮件地址被应用程序用作唯一标识符。然而，在 Microsoft Azure AD 中，返回的“电子邮件”声明是可变的且未经验证，因此不可信，”Descope 解释道。

FragAttacks 是一组安全漏洞，可用于攻击Wi-Fi设备。有史以来的每一个Wi-Fi设备都有漏洞，使得攻击者可以窃取敏感

FragAttacks 是一组安全漏洞，可用于攻击Wi-Fi设备。有史以来的每一个Wi-Fi设备都有漏洞，使得攻击者可以窃取敏感数据或攻击您网络上的设备。 这里是您需要知道的内容。 《如何保护您的Wi-Fi免受FragAttacks攻击》

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields（ACF）是一款使用频率较高的 WordPress 插件，已在全球超过 200 万个站点安装，近日曝光该插件存在 XSS（跨站点脚本）的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新，修复了上述漏洞。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

【苹果向日本监管机构妥协，允许用户在 App Store 之外注册】从明年初开始，苹果将允许开发者把用户重定向至外部网站进行服务

【苹果向日本监管机构妥协，允许用户在 App Store 之外注册】从明年初开始，苹果将允许开发者把用户重定向至外部网站进行服务注册，不必再使用 App Store 的应用内购买系统，从而能够规避苹果抽成。这一调整适用于为数字杂志、报纸、图书、音频、音乐以及视频提供内容订阅的应用。 #抽屉IT