5月30日,网络安全设备的OASIS研究团队于5月28日发表了一篇博客文章,告知Microsoft文件选择器)报告了严重的安全漏洞。他引用了一篇博客文章,并说该团队说脆弱性的根本原因是,文件选择者要求的许可证过于广泛,并且没有对OAuth许可的复杂控制。即使用户仅加载一个文件,文件选择器也需要在云存储单元中读取许可证。该设计使用户区分了恶意访问所有文件和应用程序的应用程序,这些应用程序被迫要求过多访问,因为他们没有安全选择。更糟糕的是,在加载文件之前,用户的批准消息是未知的,并且不明确地告知授权的真正范围。 OASIS设备警告说,在批准过程中使用的Oauth代币通常存储在浏览器S存储中Ession,攻击者非常容易受到他们的影响。此外,一些批准过程还发布了更新令牌,使用户可以恢复新令牌而无需在当前代币到期后再次登录,这允许连续访问用户数据。这种机制进一步扩大了风险,并可能导致个人和商业用户的数据长期暴露。目前,微软已收到漏洞报告,并验证了该问题,但尚未实施任何解决方案。
