Търсене
Close this search box.

Microsoft отстранява критичен недостатък на платформата Power Platform

В петък Microsoft разкри, че е отстранила критичен недостатък в сигурността на платформата Power Platform, но не и преди да бъде критикувана за това, че не е предприела бързи действия.

„Уязвимостта може да доведе до неоторизиран достъп до функциите на потребителския код, използвани за потребителските конектори на Power Platform“, заяви технологичният гигант. „Потенциалното въздействие може да бъде непреднамерено разкриване на информация, ако във функцията Custom Code са вградени тайни или друга чувствителна информация.“

Компанията отбеляза още, че не се изискват действия от страна на клиентите и че не е открила доказателства за активна експлоатация на уязвимостта в дивата природа.

Компанията Tenable, която първоначално откри и съобщи за недостатъка на Редмънд на 30 март 2023 г., заяви, че проблемът може да даде възможност за ограничен, неоторизиран достъп до кръстосани приложения и чувствителни данни.

Фирмата за киберсигурност заяви, че недостатъкът възниква в резултат на недостатъчен контрол на достъпа до хостовете на Azure Function, което води до сценарий, при който  заплахата може да прихване клиентските идентификатори и тайни на OAuth, както и други форми на удостоверяване.

Твърди се, че Microsoft е издала първоначална поправка на 7 юни 2023 г., но едва на 2 август 2023 г. уязвимостта е била напълно запушена.

Месечното забавяне на закърпването на дефекта привлече вниманието на главния изпълнителен директор на Tenable Амит Йоран, който упрекна производителя на Windows, че е „крайно безотговорен, ако не и откровено небрежен“.

„Доставчиците на облачни услуги отдавна подкрепят модела на споделената отговорност“, заяви Йоран в публикация, споделена в LinkedIn. „Този модел е безвъзвратно нарушен, ако вашият доставчик на облачни услуги не ви уведомява за възникнали проблеми и не прилага открито корекциите.“

„Това, което чувате от Microsoft, е „просто ни се доверете“, но получавате обратно много малко прозрачност и култура на токсично замазване.“

В собственото си предупреждение технологичният гигант заяви, че следва обширен процес на проучване и внедряване на поправки и че „разработването на актуализация на сигурността е деликатен баланс между скоростта и безопасността на прилагане  и качеството на поправката“.

„Не всички поправки са еднакви“, добави още тя. „Някои от тях могат да бъдат завършени и безопасно приложени много бързо, а други могат да отнемат повече време. За да предпазим клиентите си от експлоатиране на ембаргова уязвимост в сигурността, започваме също така да следим всяка докладвана уязвимост в сигурността за активна експлоатация и действаме бързо, ако видим активна експлоатация.“

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
24/07/2024

Юлските актуализации за сиг...

Microsoft предупреди, че след инсталирането на...
23/07/2024

Wiz се отказа от сделката с...

Израелският гигант в областта на сигурността...
21/07/2024

Microsoft потвърди, че проб...

Microsoft твърди, че дефектната актуализация на...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!