微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它

微软了解MicrosoftTeams的漏洞存在，但并不打算修复它据安全公司Vectra称，MicrosoftTeams以未加密的明文模式存储身份验证令牌，从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软Electron框架构建的Windows、Mac和Linux桌面应用程序。微软已经意识到了这个问题，但表示没有计划在短期内进行修复，因为漏洞利用还需要网络访问。根据Vectra的说法，具有本地或远程系统访问权限的黑客可以窃取当前在线的任何Teams用户的凭据，然后即使在他们离线时也可以冒充他们。他们还可以通过与Teams相关的应用程序（例如Skype或Outlook）假装是用户，同时绕过通常需要的多因素身份验证(MFA)。——

微软再次提醒将在2024年7月1日停止支持Microsoft Teams经典版

微软再次提醒将在2024年7月1日停止支持MicrosoftTeams经典版现在距离停止支持时间只有两个月左右，微软也在博客中发文提供了一些更具体的信息，以此提醒企业和教育机构尽快完成迁移。后续经典版还能使用吗？只能短暂使用一小段时间，在7月1日后MicrosoftTeams经典版仍然可以连接到微软服务器直到10月23日，之后经典版将被阻止连接到微软服务器因此无法登录。停止支持后有什么后果：自7月1日起微软停止支持MicrosoftTeams经典版，之后不再向该版本提供任何更新，包括但不限于功能更新、安全更新和错误修复。也就是即便发现安全漏洞微软也不会修复，因此继续使用已经停止支持的版本将对企业和教育机构造成严重的安全威胁。还有替代版本可以使用吗？还有个可用替代版本就是MicrosoftTeams网页版，不过本身新版MicrosoftTeams就是基于WebView2封装的，与网页版区别不大。建议用户尤其是企业IT管理员尽快测试新版MicrosoftTeams并完成升级，否则后续基于安全考虑内网用户都只能使用网页版了。...PC版：https://www.cnbeta.com.tw/articles/soft/1428880.htm手机版：https://m.cnbeta.com.tw/view/1428880.htm

Microsoft 帐户的 OAuth 令牌可被 Harvest App 中的开放重定向漏洞窃取

Microsoft帐户的OAuth令牌可被HarvestApp中的开放重定向漏洞窃取安全研究员VikrantSinghChauhan近日公开了一项关于HarvestApp的安全漏洞研究。Harvest是一款提供时间跟踪服务的软件，允许用户通过OAuth连接其Outlook日历。Chauhan发现了一个开放重定向漏洞，攻击者可以利用这个漏洞通过隐式授权流程窃取OAuth访问令牌。他提供了详细的概念验证过程，并展示了如何构造攻击链以利用这个漏洞。尽管他在2020年就报告了这个问题，但Harvest团队对此反应迟缓，直到2023年才修复漏洞。Chauhan对Harvest团队的沟通和处理过程表示不满，并在文章中详细记录了整个事件的时间线，同时决定公开披露这个漏洞，以提醒社区对类似安全问题的重视。消息来源:

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关Linux系统XZUtils漏洞的详细常见问题解答微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将XZUtils降级到安全版本，并使用MicrosoftDefenderVulnerabilityManagement和DefenderforCloud。该漏洞是微软员工AndresFreund在调查Debian系统SSH性能问题时"意外"发现的。弗罗因德注意到与XZUtils更新相关的异常行为，从而发现了XZUtils5.6.0和5.6.1版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用SSH操作，授予他们对系统的root访问权限。后门通过五级加载器操作，操纵函数解析过程，使攻击者能够远程执行任意命令。以下是受该漏洞影响的Linux发行版：FedoraRawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora41https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersDebian测试版、不稳定版和实验版5.5.1alpha-0.1至5.6.1-1。https://lists.debian.org/debian-security-announce/2024/msg00057.htmlopenSUSETumbleweed和openSUSEMicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/KaliLinuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是，红帽企业Linux（RHEL）版本不受影响。最流行的Linux发行版之一Ubuntu也没有受到影响，因为它使用的是XZUtils的旧版本5.4。除上述步骤外，还可检查您的Linux系统是否受该漏洞影响、在终端中运行xz--version命令，检查系统中安装的XZUtils版本。如果输出显示版本等于5.6.0或5.6.1，则系统可能存在漏洞。如果您的系统正在运行易受攻击的XZUtils版本，请立即采取行动更新系统，尤其是在使用基于.deb或.rpm的glibc发行版的情况下。优先更新在公开访问的SSH端口上使用systemd的系统，以降低直接风险。如果怀疑自己的系统可能已被入侵，还可以查看审计日志，查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题，请访问此处的微软技术社区页面。...PC版：https://www.cnbeta.com.tw/articles/soft/1425901.htm手机版：https://m.cnbeta.com.tw/view/1425901.htm

研究人员发现一个新的 Linux 内核提权漏洞

研究人员发现一个新的Linux内核提权漏洞Linux内核中的一个容易被利用的漏洞（CVE-2022-0847）可以被本地无权用户利用，通过利用已经公开的漏洞在脆弱的系统上获得root权限。由安全研究员MaxKellermann发现的这个缺陷--他称之为DirtyPipe，因为它与DirtyCow缺陷相似--已经在Linux内核和Android内核中打了补丁。受影响的Linux发行版正在推送带有该补丁的安全更新。...Kellerman写的关于他如何发现该漏洞的文章是安全研究人员的一个重要信息来源，包括他的PoC漏洞。其他研究人员也想出了一些变化。这个漏洞显然很容易被利用，尽管它不能被远程利用--攻击者需要事先访问一个有漏洞的主机来部署利用程序。尽管如此，如果DirtyCow缺陷被攻击者在实际利用，你可以肯定他们也会利用DirtyPipe。——

领势 Velop 路由器将 Wi-Fi 密码以明文形式发送到美国服务器

领势Velop路由器将Wi-Fi密码以明文形式发送到美国服务器据比利时消费者协会Testaan​​koop称，两款领势路由器正在以明文形式向亚马逊服务器发送Wi-Fi登录详细信息。涉及LinksysVelopPro6E和VelopPro7mesh路由器。在例行安装检查期间，Testaan​​koop检测到多个数据包被传输到美国的AWS服务器。这些数据包包含以明文形式配置的SSID名称和密码、更广泛数据库中的网络识别令牌以及用户会话的访问令牌，这可能为中间人攻击铺平道路。消费者组织使用当时最新的固件进行了这些测试。尽管在11月警告了领势，但该公司并未采取任何有效措施。——