服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - IT/互联网 - 安全公司发文吐槽:去年 9 月向微软报告漏洞,至今仍可复现

安全公司发文吐槽:去年 9 月向微软报告漏洞,至今仍可复现

2023-08-17 11:01未知服务器之家 IT/互联网

IT之家 8 月 17 日消息,网络安全公司 AquaSec(Aqua Security)近日发布报告,表示微软在明显知情的情况下, 始终没有修复存在于 PowerShell Gallery 中的一系列安全漏洞。 IT之家注:PowerShell Gallery 是一个包存储库,包含脚本、模块以及可

IT之家 8 月 17 日消息,网络安全公司 AquaSec(Aqua Security)近日发布报告,表示微软在明显知情的情况下,始终没有修复存在于 PowerShell Gallery 中的一系列安全漏洞。

安全公司发文吐槽:去年 9 月向微软报告漏洞,至今仍可复现

安全公司发文吐槽:去年 9 月向微软报告漏洞,至今仍可复现

IT之家注:PowerShell Gallery 是一个包存储库,包含脚本、模块以及可供下载和使用的 DSC 资源。

报告中披露了 PowerShell Gallery 存储库中存在的 3 大漏洞,主要集中在欺骗和伪造方面。报告中表示微软在很早之前就已经发现了这些漏洞,但至今仍未实施任何修复。

IT之家根据博文报道,汇总时间轴如下:

  • 2022 年 9 月 27 日 - Aqua 研究团队向 MSRC 报告了系列漏洞。

  • 2022 年 10 月 20 日 - MSRC 确认了我们报告的行为。

  • 2022 年 11 月 2 日 - MSRC 表示问题已得到修复(无法提供在线服务中产品修复的详细信息)。

  • 2022 年 12 月 26 日 - Aqua 团队复现了相关漏洞(无法预防)。

  • 2023 年 1 月 3 日 - Aqua 研究团队重新启动了有关 MSRC 缺陷的报告。

  • 2023 年 1 月 3 日 - MSRC 确认了报告的行为。

  • 2023 年 1 月 10 日 - MSRC 将报告标记为已解决。

  • 2023 年 1 月 15 日 - MSRC 回应说:“工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到 PSGallery 的新模块,我们目前有一个短期解决方案”。

  • 2023 年 3 月 7 日 - MSRC 回应:"反应性修复已到位"。

  • 2023 年 8 月 16 日 - 漏洞仍可复现。

相关阅读:

《报告超 120 天仍未修复,专家指责微软在安全上“不负责任”》

《受多起数据泄露事件影响,微软被指“不注重网络安全”》

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

延伸 · 阅读

精彩推荐