IT 之家 8 月 17 日消息,網絡安全公司 AquaSec(Aqua Security)近日發布報告,表示微軟在明顯知情的情況下,始終沒有修複存在于 PowerShell Gallery 中的一系列安全漏洞。
IT 之家注:PowerShell Gallery 是一個包存儲庫,包含腳本、模塊以及可供下載和使用的 DSC 資源。
報告中披露了 PowerShell Gallery 存儲庫中存在的 3 大漏洞,主要集中在欺騙和僞造方面。報告中表示微軟在很早之前就已經發現了這些漏洞,但至今仍未實施任何修複。
IT 之家根據博文報道,彙總時間軸如下:
2022 年 9 月 27 日 - Aqua 研究團隊向 MSRC 報告了系列漏洞。
2022 年 10 月 20 日 - MSRC 确認了我們報告的行爲。
2022 年 11 月 2 日 - MSRC 表示問題已得到修複(無法提供在線服務中産品修複的詳細信息)。
2022 年 12 月 26 日 - Aqua 團隊複現了相關漏洞(無法預防)。
2023 年 1 月 3 日 - Aqua 研究團隊重新啓動了有關 MSRC 缺陷的報告。
2023 年 1 月 3 日 - MSRC 确認了報告的行爲。
2023 年 1 月 10 日 - MSRC 将報告标記爲已解決。
2023 年 1 月 15 日 - MSRC 回應說:" 工程團隊仍在努力修複錯别字和軟件包細節欺騙問題。對于發布到 PSGallery 的新模塊,我們目前有一個短期解決方案 "。
2023 年 3 月 7 日 - MSRC 回應:" 反應性修複已到位 "。
2023 年 8 月 16 日 - 漏洞仍可複現。
