Microsoftアカウント、不適切なOAuth設定で第三者がアカウントに不正アクセス可能に

2019年12月9日 17:35

印刷

記事提供元:スラド

 Anonymous Coward曰く、

 MicrosoftアカウントやMicrosoft Azureアカウントなどで使われているOAuth 2.0認証で不適切な設定が行われており、その結果第三者がアカウントに不正にアクセスできる状況になっていたとのこと。すでにこの問題は修正済みだという(TechCrunchSecurity NEXTEnterpriseZine)。

 この問題はBlackDirectと名付けられて実証コードも公開されている

 OAuth 2.0での認証時、認証を許可する「信頼済みドメイン」を記したホワイトリストに掲載されているURLやサブドメインの一部にMicrosoftが保有していないものが含まれており、それを第三者が取得できるようになっていたのが原因だという。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ

 関連ストーリー:
Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 2019年09月03日
Google、WebViewからのOAuth認証リクエストをブロックへ 2016年08月31日
OAuthとOpenIDに脆弱性? 2014年05月08日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事