Angreifer können in Microsofts Authenticator eine kritische Sicherheitslücke ausnutzen. Darüber können sie an Sign-in-Tokens gelangen, womit sie unbefugten Zugriff auf Resourcen erhalten können. Microsoft hat für die Apps Aktualisierungen veröffentlicht.

Microsoft beschreibt im entsprechenden Schwachstelleneintrag grob das Problem. Laut des Eintrags können sensible Informationen an unbefugte Akteure gelangen, da Microsoft Authenticator Informationen an Angreifer über das Netzwerk preisgibt. Das Unternehmen erklärt in der FAQ, dass die Schwachstelle das Sign-in-Token zum Arbeitskonto von Nutzern offenlegen kann. So erlangen Unbefugte Zugriff auf Daten und Diensten, auf die das Benutzerkonto zugreifen darf, darunter potenziell auch sensible Unternehmensinformationen (CVE-2026-41615, CVSS 9.6, Risiko „kritisch“).

Die abgesicherten Versionen lauten für Android 6.2605.2973 und neuer, für iOS ab Stand 6.8.47. Nutzer, die die automatischen App-Updates des Mobilbetriebssystems aktiviert haben, erhalten das Update automatisch. Andernfalls muss über den Google Play Store oder den iOS-App-Store die aktualisierten Apps heruntergeladen und installiert werden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE