5 月 30 日消息，網絡安全團隊 Oasis Research Team 于 5 月 28 日發布博文，報告稱微軟 OneDrive 文件選擇器（File Picker）存在嚴重安全漏洞。

IT之家援引博文介紹，該團隊表示這個漏洞的根源，在于文件選擇器請求的權限過于寬泛，缺乏精細化的 OAuth 權限范圍控制。即便用戶僅上傳單個文件，文件選擇器，也會要求對整個云存儲驅動器的讀取權限。

這樣的設計讓用戶難以分辨哪些應用是惡意索取全部文件訪問權限，哪些應用只是因為缺乏安全選項而被迫請求過多權限。更糟糕的是，用戶在上傳文件前的授權提示模糊不清，未能明確告知實際授權范圍，增加了安全風險。

Oasis 團隊警告，授權過程中使用的 OAuth 令牌常以明文形式存儲在瀏覽器的會話存儲中，極易被攻擊者竊取。此外，部分授權流程還會發放 refresh tokens，允許應用在當前 tokens 過期后無需用戶再次登錄即可獲取新 tokens，從而持續訪問用戶數據。

這種機制進一步放大風險，可能導致個人及企業用戶的數據長期暴露。目前，微軟已收到漏洞報告并確認問題，但尚未推出修復措施。

【來源： IT之家】