報(bào)告超 120 天仍未修復(fù)，專家指責(zé)微軟在安全上“不負(fù)責(zé)任”

2023-08-04 11:54:08|

來(lái)源：IT之家作者：

(資料圖)

IT之家 8 月 4 日消息，網(wǎng)絡(luò)安全公司 Tenable 首席執(zhí)行官 Amit Yoran 近日在 LinkedIn 平臺(tái)發(fā)文，指責(zé)微軟在安全方面“非常不負(fù)責(zé)任”，缺乏透明度，讓客戶暴露在風(fēng)險(xiǎn)中。

Tenable 公司總部位于巴爾的摩，于今年 3 月向微軟報(bào)告了 Azure 服務(wù)中跨租戶（cross-tenant）應(yīng)用問(wèn)題，能讓黑客在未經(jīng)許可的情況下訪問(wèn)敏感數(shù)據(jù)，并證明可以訪問(wèn)一家金融機(jī)構(gòu)的敏感數(shù)據(jù)。

然而微軟修復(fù)該 BUG 的時(shí)間令 Tenable 非常不滿意，不僅耗時(shí)長(zhǎng)達(dá) 3 個(gè)月，而且所發(fā)布的修復(fù)補(bǔ)丁無(wú)法完全修復(fù)。

如果金融機(jī)構(gòu)依然運(yùn)行舊版本，依然存在嚴(yán)重?cái)?shù)據(jù)泄露的風(fēng)險(xiǎn)。約蘭對(duì)微軟處理這一問(wèn)題的方式持高度批評(píng)態(tài)度。

IT之家翻譯內(nèi)容如下：

自我們報(bào)告該問(wèn)題以來(lái)已經(jīng)超過(guò) 120 天，但微軟仍沒(méi)有啟動(dòng)足夠有效的措施來(lái)遏制該漏洞。
更重要的是，客戶并不清楚自己是否存在漏洞，也無(wú)法就補(bǔ)償控制和其他風(fēng)險(xiǎn)緩解措施做出明智的決定。
微軟聲稱 9 月底會(huì)解決這個(gè)問(wèn)題，如果這不是明顯的疏忽，就表明微軟在安全方面非常不負(fù)責(zé)任。

微軟回應(yīng)稱處理安全漏洞需要經(jīng)過(guò)徹底的調(diào)查、確認(rèn)受影響的產(chǎn)品和版本，此外還需要測(cè)試其他操作系統(tǒng)和應(yīng)用程序之間的兼容性，因此整個(gè)過(guò)程是比較漫長(zhǎng)的。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。

標(biāo)簽：