🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Microsoft đã giải quyết lỗ hổng nghiêm trọng trong Power Platform sau khi bị chỉ trích vì sự chậm trễ

07/08/2023

Thứ Sáu vừa qua, Microsoft tiết lộ rằng họ đã giải quyết một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Power Platform, sau khi họ bị chỉ trích vì không hành động nhanh chóng.

Microsoft cho biết "lỗ hổng có thể dẫn đến truy cập trái phép vào các chức năng mã tùy chỉnh (Custom Code) được sử dụng cho trình kết nối (connector) tùy chỉnh Power Platform". "Tác động tiềm ẩn của nó có thể là tiết lộ thông tin ngoài ý muốn nếu bí mật (secret) hoặc thông tin nhạy cảm khác được lưu trong chức năng Custom Code".

Công ty lưu ý thêm rằng khách hàng không cần thực hiện bất kỳ hành động nào và không phát hiện bằng chứng nào về việc khai thác lỗ hổng trong thực tế.

Tenable, công ty đã phát hiện và báo cáo lỗ hổng cho Redmond vào ngày 30 tháng 3 năm 2023, cho biết sự cố có thể cho phép truy cập hạn chế, trái phép vào các ứng dụng và dữ liệu nhạy cảm của nhiều bên thuê.

Công ty bảo mật cho biết lỗ hổng phát sinh do thiếu kiểm soát truy cập vào máy chủ Azure Function, dẫn đến kẻ đe dọa có thể chặn bắt các thông tin xác thực cho ứng dụng được sử dụng trong OAuth (OAuth client IDs and secrets), cũng như các hình thức xác thực khác.

Microsoft được cho là đã đưa ra bản sửa lỗi ban đầu vào ngày 7 tháng 6 năm 2023, nhưng phải đến ngày 2 tháng 8 năm 2023, lỗ hổng này mới được khắc phục hoàn toàn.

Giám đốc điều hành của Tenable, Amit Yoran, đã chỉ trích Microsoft là “vô trách nhiệm” vì sự chậm trễ trong việc giải quyết lỗ hổng này.

Trong cảnh báo của mình, Microsoft cho biết họ tuân theo một quy trình điều tra và triển khai các bản sửa lỗi, "việc phát triển bản cập nhật bảo mật cần đảm bảo sự cân bằng giữa tốc độ và sự an toàn của việc áp dụng bản sửa lỗi cũng như chất lượng của nó".

Công ty cho biết thêm rằng: "Không phải tất cả các bản sửa lỗi đều như nhau". "Một số có thể được hoàn thành và áp dụng một cách an toàn rất nhanh chóng, một số khác có thể mất nhiều thời gian hơn. Để bảo vệ khách hàng của chúng tôi khỏi việc bị khai thác lỗ hổng bảo mật, chúng tôi cũng theo dõi bất kỳ lỗ hổng bảo mật nào được báo cáo về hoạt động khai thác và hành động nhanh chóng nếu chúng tôi nhận thấy dấu hiệu khai thác trong thực tế."

Nguồn: thehackernews.com.

scrolltop