Microsoft warnt
in einer Sicherheitsmeldung vor einer Schwachstelle in seiner Authenticator-App für iOS und Android. Über die Sicherheitslücke
CVE-2026-41615 (CVSS Score 9.6) können Angreifer per Remote-Zugriff mit geringem Aufwand vertrauliche Daten aus Nutzerkonten abgreifen. Bei
Microsoft heisst es dazu: "Diese Sicherheitslücke könnte dazu führen, dass ein Anmelde-Zugriffstoken für das Geschäftskonto eines Nutzers offengelegt wird. Im Fall einer Offenlegung könnte dieses Token den Zugriff auf Daten und Dienste ermöglichen, für deren Nutzung der Benutzer berechtigt ist, darunter möglicherweise auch sensible Unternehmensdaten."
Und etwas detaillierter: "Ein Angreifer könnte versuchen, einen Nutzer dazu zu verleiten, auf eine bösartige Anfrage zu reagieren, die legitim erscheint. Wenn der Nutzer die Anfrage genehmigt, könnte der Angreifer bewirken, dass die App in seinem Namen ein Zugriffstoken abruft und an einen vom Angreifer kontrollierten Ort sendet, ohne dass der Nutzer eindeutig darüber informiert wird, welche Zugriffsrechte gewährt werden." Microsoft hat inzwischen eine gepatchte Version der App für beide Mobilbetriebssysteme herausgegeben. Wer auf seinem Gerät automatische Updates aktiviert hat, sollte die neue Version bereits erhalten haben. Ansonsten sollte das Update möglichst umgehend manuell durchgeführt werden.
(ubi)
