(资料图)

网络安全公司AquaSec近日发布报告,指出微软在明确知情的情况下,仍未修复存在于PowerShell Gallery中的一系列安全漏洞。PowerShell Gallery是一个包存储库,包含脚本、模块以及可供下载和使用的DSC资源。报告中披露了PowerShell Gallery存储库中存在的3大漏洞,主要集中在欺骗和伪造方面。报告中表示微软在很早之前就已经发现了这些漏洞,但至今仍未实施任何修复。根据报告,以下是相关事件的时间轴:2022年9月27日,Aqua研究团队向微软安全响应中心(MSRC)报告了系列漏洞。2022年10月20日,MSRC确认了报告的行为。2022年11月2日,MSRC表示问题已得到修复。2022年12月26日,Aqua团队复现了相关漏洞。2023年1月3日,Aqua研究团队重新启动了有关MSRC缺陷的报告。2023年1月3日,MSRC再次确认了报告的行为。2023年1月10日,MSRC将报告标记为已解决。2023年1月15日,MSRC回应说:“工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到PSGallery的新模块,我们目前有一个短期解决方案”。2023年3月7日,MSRC回应:"反应性修复已到位"。然而,到2023年8月16日,这些漏洞仍可复现。此事引发了对微软在安全问题上的责任心的质疑,有专家指责微软在安全上“不负责任”,并指出微软“不注重网络安全”。

推荐内容