IT采购网8月17日消息,网络安全公司AquaSec近日发布了一份报告,揭示了微软在已知的情况下没有对PowerShellGallery中的一系列安全漏洞进行修复。
这份报告详细披露了存在于PowerShellGallery存储库中的三大漏洞,主要涉及到欺骗和伪造方面。据报告指出,微软早在较早的时候就已经发现了这些漏洞,然而至今仍未对其进行修复。
具体时间线如下:
2022年9月27日,Aqua的研究团队向微软安全响应中心(MSRC)报告了这一系列漏洞。随后,于10月20日,MSRC确认了这些报告。
不过,问题的复杂性在于,尽管在2022年11月2日,MSRC声称已经对这些问题进行了修复,却没有提供具体的修复细节。
随后,2022年12月26日,Aqua团队成功地复现了这些漏洞,显示这些修复措施无法预防漏洞的再次出现。为此,Aqua研究团队在2023年1月3日重新向MSRC提交了关于这些缺陷的报告,而MSRC则再次确认了报告的内容。
然而,即便在2023年1月10日,MSRC将这些报告标记为“已解决”,问题似乎仍然存在。更令人担忧的是,2023年1月15日,MSRC回应称他们仍在努力解决这些问题,对于即将发布到PowerShellGallery的新模块,他们有一个短期解决方案。
直到2023年3月7日,MSRC回应称“反应性修复已到位”。
然而,令人惊讶的是,截至2023年8月16日,这些漏洞似乎仍然可以被成功复现,这表明问题的根本解决可能需要更多的努力和时间。
据IT采购网了解,这一情况引发了用户和开发人员的关切,因为这些未修复的漏洞可能会被黑客利用,危及系统的安全性。微软需要进一步加强安全措施,确保PowerShellGallery的漏洞得到及时和彻底的修复,以保障用户数据和系统的安全。
