Descrição da vulnerabilidade
O Microsoft Teams é uma plataforma de colaboração em equipe lançada pela Microsoft, que oferece bate-papo, chamada, reunião online, compartilhamento de arquivos e outras funções.
Nas versões afetadas do Microsoft Teams, um invasor pode executar remotamente um código arbitrário quando um usuário ingressa em uma reunião maliciosa do Microsoft Teams configurada pelo invasor.
| Nome da vulnerabilidade | Vulnerabilidade de execução remota de código do Microsoft Teams |
|---|---|
| Tipo de vulnerabilidade | injeção de código |
| tempo de descoberta | 2023/08/09 |
| Amplitude da Vulnerabilidade | geralmente |
| número MPS | MPS-2023-9577 |
| número CVE | CVE-2023-29330 |
| número CNVD | - |
Esfera de influência
Microsoft Teams para iOS@(-∞, 5.12.1)
Microsoft Teams para Mac@(-∞, 1.6.00.17554)
Microsoft Teams para Desktop@(-∞, 1.6.00.18681)
Microsoft Teams para Android@(-∞, 1.0.0.2023070204)
plano de reparo
Atualize o Microsoft Teams for Desktop para a versão 1.6.00.18681 ou superior
Atualize o Microsoft Teams para Android para a versão 1.0.0.2023070204 ou superior
Evite ingressar em reuniões não confiáveis do Microsoft Teams
O patch oficial foi lançado: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330
Atualize o Microsoft Teams para iOS para a versão 5.12.1 ou posterior
Atualize o Microsoft Teams para Mac para a versão 1.6.00.17554 ou posterior
link de referência
https://www.oscs1024.com/hd/MPS-2023-9577
https://nvd.nist.gov/vuln/detail/CVE-2023-29330
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330
Sobre a Murphy Security
A Murphy Security é uma empresa de tecnologia que fornece gerenciamento profissional de segurança da cadeia de suprimentos de software. A equipe principal vem da Baidu, Huawei, Wuyun e outras empresas. A empresa fornece aos clientes uma plataforma completa de gerenciamento de segurança da cadeia de suprimentos de software e fornece software com um ciclo de vida completo em torno do gerenciamento de segurança SBOM, os recursos da plataforma incluem análise de componentes de software, gerenciamento de segurança de origem, detecção de imagem de contêiner, alerta precoce de inteligência de vulnerabilidade e avaliação de acesso à cadeia de suprimentos de software comercial e outros produtos. Forneça aos clientes recursos completos de controle, desde gerenciamento de identificação de ativos da cadeia de suprimentos, detecção de riscos, controle de segurança e reparo com uma chave.
Projeto de código aberto: https://github.com/murphysecurity/murphysec/?sf=qbyj
O produto pode ser integrado com várias ferramentas no processo de desenvolvimento existente a um custo muito baixo, incluindo integração perfeita com dezenas de ferramentas como IDE, Gitlab, Bitbucket, Jenkins, Harbor e Nexus.
Ferramenta gratuita de detecção de segurança de código: https://www.murphysec.com/?sf=qbyj
Assinatura gratuita de inteligência: https://www.oscs1024.com/cm/?sf=qbyj
