Der Sicherheitsforscher Oskars Vegeris hat in Microsofts Chatsystem „Teams“ eine Cross-Site-Scripting-Lücke entdeckt, die genutzt werden konnte, um fremde Accounts zu übernehmen. Der Sicherheitsforscher benachrichtigte Microsoft eigenen Angaben nach Ende August über die Sicherheitslücke und stufte sie als besonders kritisch ein.
Eine solche Remote-Code-Execution-Lücke gehört eigentlich zu den kritischsten Lücken, die man sich vorstellen kann. Doch Microsoft sah das offenbar anders. Die Lücke wurde für das Bugbounty-Programm von Microsofts Cloudanwendungen, zu denen auch Teams gehört, lediglich in die Kategorie Spoofing einsortiert, eine der niedrigsten Kategorien des Programms.
Seit Ende Oktober sollen die Schwachstellen geschlossen sein. Ab welcher Versionsnummer die Patches integriert sind, ist bislang nicht bekannt.
Quellen:
https://www.golem.de/news/sicherheitsluecke-remote-code-execution-in-microsoft-teams-2012-152636.html
https://www.heise.de/news/Schlupfloch-fuer-Schadcode-in-Microsoft-Teams-geschlossen-4983189.html
Sicherheitslücke bei Microsoft Teams nach zwei Monaten geschlossen
