Microsoft Teams修复了一个利用GIF访问用户数据的安全漏洞

　　像Microsoft这样的应用球队已经看到了人气稳步上升的COVID-19大流行将得到社会距离的礼貌。但是他们也有相当多的隐私问题。上个月，Cyber​​Ark的安全研究人员发现了Microsoft Teams(台式机和Web浏览器版本)中的一个缺陷，该缺陷在 GIF的帮助下使帐户和关联计算机的数据处于危险之中。

　　简而言之，用户要做的就是查看他们收到的特定GIF。完成此操作后，黑客可以在后台使用受感染的子域来窃取安全令牌并挖掘受害者的数据。

　　具体而言，恶意GIF包含了'src'属性。当打开它时，目标浏览器将尝试加载GIF，这会将“ authtoken” cookie发送到受感染的子域，该cookie用于对跨Skype和Teams的域中的图像加载进行身份验证。这意味着攻击者将掌握受害者的身份验证令牌，从而允许他们开辟一条途径来窃取受害者的数据。

　　该错误已报告给Microsoft于3月23日发布，但此问题已在最近的更新中得到解决。Cyber​​Ark表示已与Microsoft合作解决此漏洞协同漏洞披露下的安全研究中心。到目前为止，没有证据表明该漏洞已被网络犯罪分子利用。