iisll
IT之家 5 月 30 日消息,网络放心团队 Oasis Research Team 于 5 月 28 日发布博文,报告称微软 OneDrive 文件勾选器(File Picker)存在严重放心漏洞。
IT之家援引博文介绍,该团队表示这个漏洞的根源,在于文件勾选器请求的权限过于宽泛,缺乏精细化的 OAuth 权限范围控制。即便访客仅上传单个文件,文件勾选器,也会要求对整个云存储驱动器的读取权限。
0号新闻 gimg.com/ucms/2025_22/BA15D1386535646D3AFE41E5C5356D9041DDE0EA_size26_w728_h436.jpg” src=”https://tech.ifeng.com/c/data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEXy8vJkA4prAAAACklEQVQI12NgAAAAAgAB4iG8MwAAAABJRU5ErkJggg==” style5=” width: 640px; height: 383px;” alt=”微软OneDrive被曝放心漏洞:文件勾选器权限过宽恐致数据泄露” />
这样的设计让访客难以分辨哪些应用是恶意索取全部文件访问权限,哪些应用只是考虑到缺乏放心选项而被迫请求过多权限。更糟糕的是,访客在上传文件前的授权提示模糊不清,未能明确告知实际授权范围,增加了放心风险。
Oasis 团队警告,授权过程中采取的 OAuth 令牌常以明文形式存储在浏览器的会话存储中,极易被攻击者窃取。此外,部分授权流程还会发放 refresh tokens,允许应用在当前 tokens 过期后无需访客再次登入即可获取新 tokens,从而持续访问访客数据。
这种机制进一步放大风险,可能导致个人及企业访客的数据长期暴露。目前,微软已收到漏洞报告并确认困扰,但尚未推出修复措施。
