In Microsoft Teams konnte eine schwerwiegende Schwachstelle gefunden werden
Für die Schwachstelle war das AngularJS-Framework verantwortlich. Hiermit war es möglich, Javascript-Code, der an eine Nachricht angehängt wurde, auszuführen.
Lücke in niedrige Kategorie eingeordnet
Obwohl es sich um eine sehr schwerwiegende Sicherheitslücke handelt und Angreifer hiermit eine Remote Code Execution (RCE) durchführen konnten, haben die Redmonder den Fehler zunächst in den Bereich Spoofing und damit in eine der niedrigsten Kategorien des eigenen Bug-Bounty-Programms eingeordnet.Damit hat der Sicherheitsforscher auch nur eine geringe Belohnung für das Entdecken der Schwachstelle erhalten. Microsoft begründet die Einordnung damit, dass der Desktop-Client von Teams überhaupt nicht vom Bug-Bounty-Programm abgedeckt wird und nur eine mögliche Accountübernahme in Kombination mit der Web-Anwendung berücksichtigt wurde.
Da die Redmonder die Sicherheitslücke inzwischen geschlossen haben, sollten die Nutzer des Programms ein Update auf die neueste Version von Microsoft Teams durchführen. In den meisten Fällen dürfte die Aktualisierung allerdings schon automatisch installiert worden sein.
Mehr zu Microsoft Teams:
- Heute stirbt der Internet Explorer 11 auf und für Microsoft Teams
- Microsoft Teams erhält KI-basierte Geräuschunterdrückung für Meetings
- Microsoft Teams bekommt etliche kleinere und größere Neuerungen
- Microsoft Teams-Updater lässt sich für Malware kapern - immer noch
- Microsoft Teams bekommt Telefonanrufe und bis zu 20.000 Teilnehmer