PT-2020-3304 · Microsoft · Skype For Business+1
Publicado
2020-07-14
·
Atualizado
2021-07-21
·
CVE-2020-1462
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Skype for Business (versões afetadas não especificadas)
Microsoft Edge (baseado em EdgeHTML) (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de divulgação de informações ao acessar o Skype for Business via Microsoft Edge (baseado em EdgeHTML). Essa vulnerabilidade pode ser explorada por um invasor remoto para obter acesso não autorizado a informações protegidas ao abrir um link especialmente criado no aplicativo. Um invasor que explorar essa vulnerabilidade poderia fazer com que o usuário realizasse uma chamada sem consentimento adicional, levando à divulgação de informações do perfil do usuário.
Recomendações
Para o Skype for Business, considere restringir o acesso a informações confidenciais do usuário até que uma correção esteja disponível.
Para o Microsoft Edge (baseado em EdgeHTML), evite usá-lo para acessar o Skype for Business até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar a capacidade de fazer chamadas a partir do Skype for Business quando acessado via Microsoft Edge (baseado em EdgeHTML) para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Edge
Skype For Business