微软未修复 PowerShell Gallery 漏洞：已复现

(资料图)

网络安全公司AquaSec近日发布报告，指出微软在明确知情的情况下，仍未修复存在于PowerShell Gallery中的一系列安全漏洞。PowerShell Gallery是一个包存储库，包含脚本、模块以及可供下载和使用的DSC资源。报告中披露了PowerShell Gallery存储库中存在的3大漏洞，主要集中在欺骗和伪造方面。报告中表示微软在很早之前就已经发现了这些漏洞，但至今仍未实施任何修复。根据报告，以下是相关事件的时间轴：2022年9月27日，Aqua研究团队向微软安全响应中心（MSRC）报告了系列漏洞。2022年10月20日，MSRC确认了报告的行为。2022年11月2日，MSRC表示问题已得到修复。2022年12月26日，Aqua团队复现了相关漏洞。2023年1月3日，Aqua研究团队重新启动了有关MSRC缺陷的报告。2023年1月3日，MSRC再次确认了报告的行为。2023年1月10日，MSRC将报告标记为已解决。2023年1月15日，MSRC回应说：“工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到PSGallery的新模块，我们目前有一个短期解决方案”。2023年3月7日，MSRC回应："反应性修复已到位"。然而，到2023年8月16日，这些漏洞仍可复现。此事引发了对微软在安全问题上的责任心的质疑，有专家指责微软在安全上“不负责任”，并指出微软“不注重网络安全”。

关键词：