回复智能未来:这个漏洞真让人担心,onedrive里的文件感觉都不安全了
智能未来
下载贤集网APP入驻自媒体
5月28日,Oasis Research Team发布博文称微软OneDrive文件选择器存在严重安全漏洞。 该漏洞根源在于文件选择器请求权限过宽,缺乏精细化的OAuth权限范围控制,用户上传单个文件,文件选择器也会要求对整个云存储驱动器的读取权限。这使用户难以分辨应用请求权限的意图,且授权提示模糊不清,未明确告知实际授权范围,安全风险大增。 同时,授权过程中的OAuth令牌常以明文形式存于浏览器会话存储,易被攻击者窃取,部分授权流程还会发放refresh tokens,可让应用在当前tokens过期后无需用户再次登录就能获取新tokens,持续访问用户数据,导致个人及企业用户数据长期暴露风险加大。 目前微软已确认问题,但尚未推出修复措施。
