在受到安全研究人員的批評後,微軟已經解決了其 Azure 雲服務中的一個漏洞。該漏洞最早由網絡安全公司 Tenable 於 2023 年 3 月 30 日向微軟報告。然而,直到 6 月初,微軟才發布了初步修復程序,但在 7 月份發現修復程序不夠充分。 Microsoft 於2023 年8 月2 日完成了完整的緩解措施。
漏洞及其潛在影響
該漏洞涉及使用自定義代碼的Power Platform 自定義連接器,該功能允許客戶為自定義連接器編寫代碼。如果被利用,可能會發生對敏感數據的未經授權的訪問。 Tenable 的安全團隊能夠訪問敏感數據 在發現期間與一家未公開的金融機構有聯繫。
對微軟處理問題的批評
Tenable 首席執行官Amit Yoran批評了微軟對該問題的處理,指出該公司缺乏透明度,而且在解決漏洞方面付出的努力最少,導致客戶面臨被故意蒙在鼓裡的風險。他還聲稱微軟的部分修復還不夠,包括上述金融機構在內的許多組織仍然面臨嚴重數據洩露的風險。
微軟的回應
微軟為其處理安全漏洞的方式進行了辯護,表示它遵循了一個廣泛的流程,涉及徹底的調查、更新開發和兼容性測試。該公司強調及時性和質量之間的微妙平衡,同時確保最大程度地保護客戶並最大程度地減少客戶干擾。
在美國上周公開譴責該公司之後,對微軟處理安全問題的方式提出了批評。俄勒岡州參議員羅恩·懷登。在一封公開發布的信中,懷登要求司法部長梅里克·加蘭、聯邦貿易委員會主席莉娜·汗和網絡安全和基礎設施安全局局長珍·伊斯特利對微軟“採取行動”,因為微軟對SolarWinds 中國針對美國政府的間諜攻擊處理不當。 2020 年和 2021 年。根據 Google Project Zero 的數據,自 2014 年以來發現的所有零日漏洞中,微軟產品總計佔 42.5%。
