安全专家批评微软反应迟钝:花费五个月的时间才修复Azure的一个关键漏洞

安全专家批评微软反应迟钝:花费五个月的时间才修复Azure的一个关键漏洞安全专家说,微软在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度,因此对微软的指责越来越多。微软的最新失误在周二被曝光,该帖子显示微软花了五个月和三个补丁才成功修复了Azure的一个关键漏洞。OrcaSecurity在1月初首次向微软通报了这一漏洞,该漏洞存在于云服务的SynapseAnalytics组件中,也影响到AzureDataFactory。它使任何拥有Azure账户的人都有能力访问其他客户的资源。OrcaSecurity研究员TzahPahima说,从那里,攻击者可以:·在其他客户账户内获得授权,同时充当他们的Synapse工作区。根据配置,我们可以访问客户账户内的更多资源。·泄露客户存储在Synapse工作区的凭证。·与其他客户的集成运行时进行通信。我们可以利用这一点,在任何客户的集成运行时上运行远程代码(RCE)。·控制管理所有共享集成运行时的Azure批量池。我们可以在每个实例上运行代码。——arstechnica

相关推荐

封面图片

微软解释Azure漏洞原因:工程师账户被黑

微软解释Azure漏洞原因:工程师账户被黑微软表示,一名工程师的公司帐户遭到一名技术精湛的威胁参与者黑客攻击,该威胁参与者获得了签名密钥,用于攻击属于知名用户的数十个Azure和Exchange帐户。这一披露揭开了微软7月份披露的两个核心漏洞。微软表示被追踪为Storm-0558的黑客已在其公司网络内潜入一个多月,并获得了Azure和Exchange帐户的访问权限,其中几个帐户被确定属于美国国务院和商务部。Storm-0558通过获取过期的Microsoft帐户消费者签名密钥并使用它为Microsoft据称强化的AzureAD云服务伪造令牌来实现这一行为。来源:投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞微软已发布补丁来修复两个流行开源库中的零日漏洞,这些漏洞影响了多个微软产品,包括Skype、Teams及其Edge浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。谷歌和公民实验室的研究人员表示,这两个漏洞是上个月发现的,并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。这些漏洞是在两个常见的开源库webp和libvpx中发现的,这两个漏洞编号分别是(CVE-2023-4863)和(CVE-2023-5217),这些库被广泛集成到浏览器、应用和手机中,用于处理图像和视频。微软在周一发布的中表示,已经推出了修复程序,解决了其产品中集成的webp和libvpx库的两个漏洞,并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。——
封面图片

微软发布 5 月 Win10 / Win11 安全更新:修复 61 个漏洞,3 个零日漏洞

微软发布5月Win10/Win11安全更新:修复61个漏洞,3个零日漏洞https://www.ithome.com/0/768/077.htmIT之家附上本次更新修复的漏洞内容如下:17个权限提升漏洞、2个安全功能绕过漏洞、27个远程代码执行漏洞、7个信息披露漏洞、3个拒绝服务漏洞、4个欺骗漏洞61个漏洞中,不包括5月2日修复的2个微软Edge漏洞和5月10日修复的4个漏洞。本月补丁星期二活动日共计修复了3个零日漏洞,其中2个已经被证明有黑客利用发起攻击,而还有1个是公开披露的。
封面图片

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar的安全研究人员发现了一个托管在MicrosoftAzure云服务上的开放公共存储服务器,该服务器存储与微软必应搜索引擎相关的内部信息。Azure存储服务器包含代码、脚本和配置文件,其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护,互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后,微软于3月5日修复。——
封面图片

微软称两个新的Exchange零日漏洞已受到主动攻击 但没有立即修复

微软称两个新的Exchange零日漏洞已受到主动攻击但没有立即修复微软已经证实,两个未打补丁的Exchange服务器零日漏洞正被网络犯罪分子在现实世界攻击中利用。越南网络安全公司GTSC在2022年8月首次发现了这些缺陷,是其对客户网络安全事件的部分回应,该公司表示,这两个零日漏洞已被用于对其客户环境的攻击,时间可追溯到2022年8月初。PC版:https://www.cnbeta.com/articles/soft/1322709.htm手机版:https://m.cnbeta.com/view/1322709.htm
封面图片

微软 Azure OpenAI 服务推出 ChatGPT 预览版

微软AzureOpenAI服务推出ChatGPT预览版在Build2022大会上,微软推出了AzureOpenAI预览版服务,为客户提供了在各种用例中利用一些最先进的AI语言模型的方法。今年早些时间,微软正式上线了AzureOpenAI服务,并将在多条产品线接入OpenAI模型。利用AzureOpenAI服务,Azure全球版企业客户可以直接调用OpenAI模型,包括GPT-3、Codex和DALL.E模型,并享有Azure可信的企业级服务和为人工智能优化的基础设施。并承诺面向企业用户的ChatGPT也即将在全球版Azure上线。现在,微软兑现了承诺,在AzureOpenAI服务中推出了ChatGPT预览版服务,使开发人员能够利用各种AI驱动的场景。通过AzureChatGPT,现在可以增强现有的聊天机器人体验,以获得更高效的客户支持,以及更好的理赔处理自动化。此外,Azure认知服务可以强大的方式与AzureOpenAI服务相结合,例如关于公司自身数据的基于知识的检索,以及构建和改进交互模式的更“可信”的响应。微软AzureOpenAI服务客户今天可以开始使用ChatGPT,但计费将于3月13日开始,价格为0.002美元/1ktokens(等于每输出100万个单词价格2.7美元,当前约19元人民币)。感兴趣用户可以,同时可以在获得对AzureOpenAI服务的访问权限。来自:雷锋频道:@kejiqu群组:@kejiquchat投稿:@kejiqubot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人