av免费福利片在线播放,99热精品久久只有精品,18video性欧美19sex,ysl蜜桃色www,国产精品一区二区久久国产

微軟登錄系統(tǒng)存在漏洞：用戶Office帳號(hào)受影響

　　據(jù)外媒TechCrunch報(bào)道， 印度的“漏洞獵手”Sahad Nk是第一個(gè)發(fā)現(xiàn)微軟的子域名“success.office.com”未正確配置的人，他利用這一漏洞欺騙用戶點(diǎn)擊這個(gè)鏈接，來(lái)獲得微軟用戶帳號(hào)的訪問(wèn)權(quán)限。

　　他利用CNAME記錄，即一個(gè)用于將一個(gè)域名鏈接到另一個(gè)域名的規(guī)范記錄，來(lái)將未配置的子域名指向他自己的Azure實(shí)例。Nk表示，通過(guò)這種方式，他可以接管該子域名，并劫持任何發(fā)送到該子域名的數(shù)據(jù)。

　　這本身不是什么大問(wèn)題，但Nk還發(fā)現(xiàn)，因?yàn)镺ffice、Store和Sway這些應(yīng)用均使用一個(gè)通配符正則表達(dá)式，所以當(dāng)用戶通過(guò)微軟的Live登錄系統(tǒng)登錄時(shí)，這些應(yīng)用也會(huì)錯(cuò)把用戶的身份驗(yàn)證登錄指令發(fā)送他新近接管的域名中。

　　惡意攻擊者可以這個(gè)方式輕而易舉地訪問(wèn)任何人的Office帳號(hào)，甚至企業(yè)和集團(tuán)帳號(hào)，包括他們的郵件、文檔和其他文件等，而且合法用戶幾乎無(wú)法辨識(shí)。

　　目前，Nk在Paulos Yibelo的幫助下已向微軟報(bào)告了該漏洞。微軟也已經(jīng)將漏洞修復(fù)，并為Nk的工作支付了漏洞賞金。

本文編輯：陸添智