一個已經修復一個月的微軟系統漏洞，今天突然在HackerNews上火了起來。

不光如此，還有開發(fā)者專門在GitHub為這個漏洞建立項目。

但是，大家熱議的焦點并不在漏洞本身，而是本來十分嚴重的漏洞，微軟卻將它標記為最低等級，并竭力淡化影響。

修復漏洞的速度也很慢。

微軟對于嚴重漏洞「大事化小」的做法，引來網友一致吐槽，甚至還有人翻起了微軟的「舊賬」。

這個漏洞到底有多嚴重？微軟真的「護短」嗎？

什么樣的漏洞？

今年8月，微軟團隊協作工具Microsoft Teams，被指出存在嚴重的遠程執(zhí)行漏洞。

這個遠程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS（跨站點腳本）注入觸發(fā)。

黑客在受害者的PC上執(zhí)行任意代碼，而無需用戶交互。

在Teams的所有支持的平臺（Windows、macOS、Linux）桌面應用程序都可能受到影響

攻擊者只需要在Teams中給目標發(fā)送一條看起來很正常的消息。受害者只要點擊查看消息，然后就會遠程執(zhí)行代碼。

整個過程不用任何其他互動。

在演示中，攻擊者只需要發(fā)送一個非交互式的HTTP請求即可。

在遠程代碼開始執(zhí)行時，可以看到屏幕上一閃而過的模板字符串注入，但普通用戶很難察覺到。

此后，公司的內部網絡，個人文件，Office文檔/郵件/便箋，加密聊天等等都會成為攻擊或盜取對象。

定位「最低級」，合理嗎？

微軟將這個漏洞定為「重要、有欺騙性」，幾乎是Office365 Cloud 漏洞賞金計劃中級別最低的漏洞。

但從漏洞本身能造成的危害上來說，Teams漏洞可以導致：

在私人設備上任意執(zhí)行命令，而不與受害者進行交互（隱蔽性）。

除了Teams，還可以訪問私人聊天、文件、內部網絡、私人密鑰和個人數據。

訪問SSO令牌，因此除了Teams（Outlook，Office365等）之外，還可以調用其他微軟服務。

通過重定向到攻擊者網站或要求輸入SSO憑證，可能會受到釣魚攻擊

記錄鍵盤輸入內容。

利用這種攻擊方法還有一個致命的危害，即可以將執(zhí)行代碼做成蠕蟲，通過Teams的用戶關系網絡自動傳播。

GitHub用戶Oskarsve說，他們的團隊甚至誕生了一個新的「梗」：現在只要出現遠程執(zhí)行bug，都會說成「重要、有欺騙性」。

危害大、隱蔽性強、傳染性強，這樣的漏洞被定位最低級別，并且發(fā)現的時間是在今年8月份，而直到11月才完全修復。

微軟的態(tài)度，是網友們不滿的主要原因。

微軟：沒有義務做出解釋

微軟Teams漏洞被發(fā)現以后，Github用戶oskarsve數次向微軟安全響應中心反映，并詳細列出了漏洞可能帶來的嚴重后果。

三個月后，微軟方面終于有了結論，給了這個漏洞一個最低的級別。

同時，微軟方面還給出一個匪夷所思的說明：

桌面應用的漏洞「超出范圍」（out of scope）。

但桌面應用是大多數用戶使用Teams的方式。

oskarsve認為微軟的做法十分離譜，給出的說明也在敷衍用戶。

漏洞修復以后，面對用戶的質疑，和對漏洞危害性的詢問，微軟都拒絕回應。

11月底，微軟方面又補了一句：

當前微軟政策規(guī)定，無需對可自動更新的產品做CVE（通用漏洞披露）。

回復慢、還拒絕交流的態(tài)度惹惱了很多用戶。

Oskarsve在GitHub就此事建了主頁，并且詳細列出時間線，Hackernews一下炸開了鍋。

大家紛紛翻起了微軟的黑歷史。

比如，有用戶反映，微軟對于自家產品的漏洞，一直都是大事化小、不解釋的態(tài)度。

早在20年前IE5瀏覽器上線時，要報告bug，必須要用信用卡支付100美元定金。

如果bug屬實，100美元退還，如果沒bug，100美元就作為浪費微軟時間的補償?！竏oge」

后來有人詳細說明了當時的政策：

收費項目是微軟技術支持電話的服務費，如果最后證實是微軟方面的bug，則用戶無需支付這筆費用。

此外，還有用戶說，IE7時代時，瀏覽器和ClickOnce啟動器無法兼容，向微軟團隊反映數月也無果。

最后還引起了微軟和ClickOnce工作人員之間的論戰(zhàn)。

這個問題直到Edge瀏覽器時代依然存在。

翻一翻HC上關于這則消息的評論，240多條討論，大多都是這樣故事。

微軟在桌面PC上的優(yōu)勢和壟斷難破，用戶苦之久矣……

微軟漏洞有過讓你糟心的經歷嗎？
責任編輯:pj