Kleiner Nachtrag in Sachen Sicherheit und Microsoft Teams. Die beiden Sicherheitsforscher @adm1nkyj1 und @jinmo123 haben an pwn2own 2022 in Vancouver teilgenommen. Dort versuchten Sie Microsoft Teams zu hacken, sind aber an der Zeitvergabe gescheitert. Beide haben einen Bug entdeckt, der sich für einen Exploit eignet. Der Deeplink-Handler für /l/task/:appId in Microsoft Teams kann eine beliebige Url in Webview/iframe laden. Angreifer können dies mit der RPC-Funktionalität von Teams ausnutzen, um Code außerhalb der Sandbox auszuführen. Die Sicherheitsforscher haben die Details in diesem Blog-Beitrag geteilt. Danke an Jan R. für den Hinweis.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- NVIDIA DLSS 4.5: KI verfünffacht die Framerate ab Ende März News 15. März 2026
- Geldautomaten-Betrug: Neue Masche nutzt offene Sitzungen aus News 15. März 2026
- Neura Robotics und TU München starten 17-Millionen-Euro-Datenfabrik für Roboter News 15. März 2026
- KI-gestützte Smishing-Welle überrollt deutsche Smartphones News 15. März 2026
- KI-Trickbetrug erreicht neue Dimension in der Steuersaison News 15. März 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- gast bei Diskussion
- Jan bei Windows 11 24H2/25H2: Feb. 2026 Update KB5077181 kann Zugriff auf C: blocken
- Jan bei Neue Benachrichtigungswelle zu auslaufenden kostenlosen M365 "Non-Profit"-Lizenzen
- Anonym bei Anthropic-Aussagen, welche Arbeitsplätze KI ersetzen kann; Dystopische KI-Zukunft prognostiziert
- Bernie bei Anthropic-Aussagen, welche Arbeitsplätze KI ersetzen kann; Dystopische KI-Zukunft prognostiziert
- Luzifer bei Neue Benachrichtigungswelle zu auslaufenden kostenlosen M365 "Non-Profit"-Lizenzen
- aus dem Rhein-Main Gebiet bei Neue Benachrichtigungswelle zu auslaufenden kostenlosen M365 "Non-Profit"-Lizenzen
- Hans van Aken bei Anthropic-Aussagen, welche Arbeitsplätze KI ersetzen kann; Dystopische KI-Zukunft prognostiziert
- Dominik bei Patchday: Windows 10/11 Updates (10. März 2026)
- Robin bei Patchday: Microsoft Office Updates (10. Februar 2026)
- Anonymous Coward bei Febr. 2026: 11 % mehr Cyberangriffe auf deutsche Unternehmen
- Anonym bei US Medizintechnik-Anbieter Stryker nach iranischem Cyberangriff digital ausgeknipst
- Anonym bei Nachlese: McKinsey KI-Plattform Lilli von KI geknackt, die Hütte ist am Brennen
- Andreas Haerter (foundata) bei Omada-Cloud von TP-Link zeigt Nutzer fremden Tenant
- Anonym bei Hack des Westfield-Center (Hafencity Hamburg) mit Datenabfluss
Gibt es einen Hinweis, dass Microsoft darauf reagiert hat?
Auf die Schnelle finde ich dazu nichts.
Mir ist nichts bekannt. Da das Ganze aber auf der wn2own 2022 in Vancouver eingesetzt wurde, ist es Microsoft zumindest bekannt. Wie die das intern einstufen, ist dann eine andere Sache.
meiner Recherche nach hat MS das im August letzten Jahres bereits gefixt. Sollte das hier sein: https://www.zerodayinitiative.com/advisories/ZDI-22-1608/
Hatte dazu letzte Woche auch die ein oder andere Anfrage eines Kunden.
Danke für die Ergänzung.