IT之家 5 月 30 日消息，網(wǎng)絡(luò)安全團(tuán)隊(duì) Oasis Research Team 于 5 月 28 日發(fā)布博文，報(bào)告稱微軟 OneDrive 文件選擇器（File Picker）存在嚴(yán)重安全漏洞。

IT之家援引博文介紹，該團(tuán)隊(duì)表示這個(gè)漏洞的根源，在于文件選擇器請求的權(quán)限過于寬泛，缺乏精細(xì)化的 OAuth 權(quán)限范圍控制。即便用戶僅上傳單個(gè)文件，文件選擇器，也會要求對整個(gè)云存儲驅(qū)動(dòng)器的讀取權(quán)限。

這樣的設(shè)計(jì)讓用戶難以分辨哪些應(yīng)用是惡意索取全部文件訪問權(quán)限，哪些應(yīng)用只是因?yàn)槿狈Π踩x項(xiàng)而被迫請求過多權(quán)限。更糟糕的是，用戶在上傳文件前的授權(quán)提示模糊不清，未能明確告知實(shí)際授權(quán)范圍，增加了安全風(fēng)險(xiǎn)。

Oasis 團(tuán)隊(duì)警告，授權(quán)過程中使用的 OAuth 令牌常以明文形式存儲在瀏覽器的會話存儲中，極易被攻擊者竊取。此外，部分授權(quán)流程還會發(fā)放 refresh tokens，允許應(yīng)用在當(dāng)前 tokens 過期后無需用戶再次登錄即可獲取新 tokens，從而持續(xù)訪問用戶數(shù)據(jù)。

這種機(jī)制進(jìn)一步放大風(fēng)險(xiǎn)，可能導(dǎo)致個(gè)人及企業(yè)用戶的數(shù)據(jù)長期暴露。目前，微軟已收到漏洞報(bào)告并確認(rèn)問題，但尚未推出修復(fù)措施。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。