【墨菲安全实验室】Microsoft Teams 远程代码执行漏洞 (CVE-2023-29330)

漏洞描述

Microsoft Teams 是微软推出的一款团队协作平台，提供了聊天、通话、在线会议、文件共享等功能。

Microsoft Teams 受影响版本中，当用户加入攻击者设置的恶意 Microsoft Teams 会议时，攻击者可远程执行任意代码。

影响范围

Microsoft Teams for iOS@(-∞, 5.12.1)

Microsoft Teams for Mac@(-∞, 1.6.00.17554)

Microsoft Teams for Desktop@(-∞, 1.6.00.18681)

Microsoft Teams for Android@(-∞, 1.0.0.2023070204)

修复方案

升级 Microsoft Teams for iOS 到 5.12.1 或更高版本

升级 Microsoft Teams for Mac 到 1.6.00.17554 或更高版本

升级 Microsoft Teams for Desktop 到 1.6.00.18681 或更高版本

升级 Microsoft Teams for Android 到 1.0.0.2023070204 或更高版本

避免加入不信任的 Microsoft Teams 会议

官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330

参考链接

https://www.oscs1024.com/hd/MPS-2023-9577

https://nvd.nist.gov/vuln/detail/CVE-2023-29330

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕 SBOM 提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。

开源项目：GitHub - murphysecurity/murphysec: An open source tool focused on software supply chain security. 墨菲安全专注于软件供应链安全，具备专业的软件成分分析（SCA）、漏洞检测、专业漏洞库。

产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

免费代码安全检测工具： 墨菲安全 | 为您提供专业的软件供应链安全管理

免费情报订阅： OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

​