Sérülékenység: a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja

Beküldte kami911 - 2022. szep. 18. 23:50

2022 augusztusában a Vectra Protect csapata azonosított egy olyan támadási útvonalat, amely lehetővé teszi a fájlrendszerhez hozzáféréssel rendelkező rosszindulatú támadó számára, hogy ellopják a Microsoft Teams bármelyik bejelentkezett felhasználójának hitelesítő adatait. A támadóknak nincs szükségük emelt szintű engedélyekre ezen fájlok olvasásához, ami minden olyan rosszindulatú támadásnak teret enged, amelyek helyi vagy távoli fájlelérést biztosít. Ezen túlmenően a biztonsági résről megállapították, hogy az összes kereskedelmi és asztali Teams klienst érinti Windows, Mac és Linux operációs rendszereken is.

Kutatásuk felfedezte, hogy a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja. Ezekkel a tokenekkel a támadók felvehetik a token tulajdonosának személyazonosságát a Microsoft Teams kliensen keresztül bármilyen engedélyezett művelethez, beleértve a token használatát a Microsoft Graph API funkciók eléréséhez a támadó rendszeréből. Ami még rosszabb, ezek az ellopott tokenek lehetővé teszik a támadók számára, hogy többtényezős azonosítást használó fiókokkal végezzenek műveleteket, így megteremtve a többtényezős azonosítás megkerülését.

A Microsoft tisztában van ezzel a problémával, és lezárta az ügyet azzal, hogy az nem felel meg az azonnali szoftver-hibajavítást igénylő követelményeinek. Amíg a Microsoft nem lép a Teams asztali alkalmazás frissítésére, a kutatók úgy gondolják, hogy az ügyfeleknek érdemes megfontolniuk, hogy kizárólag a webes Teams alkalmazást használják. Azon ügyfelek számára, akiknek a telepített asztali alkalmazást kell használniuk, kritikus fontosságú, hogy figyeljék a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazáson kívül más folyamatok ne férjenek hozzá.

Javaslatok a sérülékenység kihasználásának elkerüléséhez

A Canonical és a Microsoft együttműködésével a .NET 6 elérhető Ubuntu 22.04 Linux-ra

Beküldte kami911 - 2022. aug. 16. 23:54

A Canonical és a Microsoft

Néhány hónappal ezelőtt a Canonical és a Microsoft munkatársai azzal a céllal kezdtek el együtt dolgozni, hogy az Ubuntut még jobb környezetté tegyék a .NET fejlesztők számára.

Két fő cél érdekében működnek együtt:

Egyszerűsíteni a .NET használatát az Ubuntu-n.
Lerövidíteni a Canonical és a Microsoft közötti ellátási láncot.

Ismert tény, hogy sok .NET fejlesztő használja az Ubuntu-t. Kommunikáció révén, nyilvánvalóvá vált, hogy elég sok mindent tehetnek azért, hogy jobbá tegyék ezt .NET élményt Ubuntu alatt.

Az új Pluton társprocesszorral szerelt Lenovo AMD laptopok alapértelmezetten csak a Windows hajlandó bootolni

Beküldte kami911 - 2022. júl. 12. 10:51

De van megoldás Legalábbis a Lenovo új, Microsoft Pluton biztonsági társprocesszorral ellátott, AMD Rembrandt meghajtású laptopjainak egy része alapértelmezés szerint csak a Microsoft kulcsában bízik, és nem a Microsoft 3rd Party UEFI CA Key-ben, amelyet a Linux disztribúciók és mások használnak az UEFI Secure Boot támogatásához. Így alapértelmezés szerint csak a Microsoft Windows fog bootolni az alapértelmezett firmware-konfigurációval néhány új Lenovo laptopon.

Még meglepőbb fordulat: Lennart Poettering a Microsoft-nál kezdett dolgozni

Beküldte kami911 - 2022. júl. 07. 06:45

A tegnapi nap meglepetése az volt, hogy Lennart Poettering csendben elhagyta a Red Hat-ot, miután másfél évtizedig vezette a PulseAudio projektet, és végül elindította a systemd-t, amely alapvetően átalakította a modern Linux disztribúciókat. Kiderült, hogy a Microsofthoz csatlakozott, és folytatja a systemd-n végzett munkáját.

Miután tegnap megjelent a cikk arról, hogy Lennart már nem dolgozik a Red Hatnál, érkeztek a tippek, hogy a systemd megalkotója egy ideje csendben csatlakozott a Microsofthoz. Emellett különböző nyilvános kommentekből a Twitteren és más médiumokon, is az derült ki, hogy Lennart a redmondi céghez csatlakozott.... Először ezek inkább viccnek tűntek, de egy nap után, kiderült, hogy valójában nem vicc.

A több fontos nyílt forráskódú projektért felelős fejlesztője csatlakozott már a Microsofthoz, és Lennart - a systemd megalkotója - továbbra is a systemd fejlesztésére koncentrál. Bár egyesek talán nem mindig értenek egyet a nézeteivel vagy bizonyos dolgok kezelésének megközelítéseivel, nem lehet eléggé hangsúlyozni a Linux szabad szoftveres világhoz való hatalmas hozzájárulását és az ökoszisztéma fejlesztése iránti elkötelezettségét az évek során.

Ez sokakat meglephet, de ne felejtsük el, hogy a Microsoft idővel számos Linux-fejlesztőt és más kiemelkedő nyílt forráskódú fejlesztőt alkalmazott... Lássuk kiket is:

A Microsoft felvásárolja az Activision Blizzard-ot

Beküldte kami911 - 2022. jan. 18. 16:25

A Microsoft felvásárolja az Activision Blizzard-ot. A tranzakció révén a Microsoft birtokába kerül majd az Activision, a Blizzard és a King stúdiók, amelyek a Warcraft, a Diablo, az Overwatch, a StarCraft, a Call of Duty, a Candy Crash játéksorozatokat készítik, továbbá a Major League Gaming néven futó a globális eSport tevékenység is.

Karácsonyi ajándékként ingyen letölthető a Linspire 7.0

Beküldte kimarite - 2017. dec. 25. 17:59

A Black Lab CEO-ja informálta a felhasználókat, hogy karácsony alkalmából ingyenesen letölthetővé vált a Lindows utódjaként ismert Linspire Linux 7.0-ás verziója.

A Linspire egy Debian/Ubuntu alapú desktop operációs rendszer, amelyet elsődlegesen otthoni és irodai felhasználóknak terveztek, olyanoknak, akik szívesen váltanának Windows-ról vagy macOS-ről Linuxra, de itt meg kell fizetni a Microsoft által levédett rendszer licenc árát.