当前位置: 首页 » 资讯 » 新零售 » 正文

微软 OneDrive 被曝安全漏洞:文件选择器权限过宽恐致数据泄露

IP属地 北京 编辑:江紫萱 IT之家 时间:2025-05-30 06:31:19

5 月 30 日消息,网络安全团队 Oasis Research Team 于 5 月 28 日发布博文,报告称微软 oneDrive 文件选择器(File Picker)存在严重安全漏洞。

援引博文介绍,该团队表示这个漏洞的根源,在于文件选择器请求的权限过于宽泛,缺乏精细化的 OAuth 权限范围控制。即便用户仅上传单个文件,文件选择器,也会要求对整个云存储驱动器的读取权限。

这样的设计让用户难以分辨哪些应用是恶意索取全部文件访问权限,哪些应用只是因为缺乏安全选项而被迫请求过多权限。更糟糕的是,用户在上传文件前的授权提示模糊不清,未能明确告知实际授权范围,增加了安全风险。

Oasis 团队警告,授权过程中使用的 OAuth 令牌常以明文形式存储在浏览器的会话存储中,极易被攻击者窃取。此外,部分授权流程还会发放 refresh tokens,允许应用在当前 tokens 过期后无需用户再次登录即可获取新 tokens,从而持续访问用户数据。

这种机制进一步放大风险,可能导致个人及企业用户的数据长期暴露。目前,微软已收到漏洞报告并确认问题,但尚未推出修复措施。

免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。