Ssylka

Насколько уязвим ваш профиль: Microsoft залатал критические бреши в Azure AI Face Service

Microsoft объявила о выпуске патчей, закрывающих две серьезные уязвимости, угрожавшие безопасности пользователей Azure AI Face Service и Microsoft Account. Обе уязвимости, относящиеся к классу Elevation of Privilege (повышение привилегий), позволяли злоумышленникам потенциально получить несанкционированный доступ к системам и данным.
Насколько уязвим ваш профиль: Microsoft залатал критические бреши в Azure AI Face Service
Изображение носит иллюстративный характер

Особенно тревожным фактом является существование Proof-of-Concept (PoC) эксплойта для одной из уязвимостей, а именно CVE-2025-21415, затрагивающей Azure AI Face Service. Это означает, что злоумышленники, обладающие необходимыми знаниями и инструментами, могли воспользоваться данной уязвимостью для повышения своих привилегий в системе.

Согласно информации, предоставленной Microsoft, уязвимость CVE-2025-21415 позволяла обходить аутентификацию путем подмены (spoofing), что давало злоумышленнику возможность повысить свои привилегии по сети. Уязвимость CVE-2025-21396, затрагивающая Microsoft Account, была связана с отсутствием должной авторизации, что также могло привести к несанкционированному повышению привилегий по сети.

Обе уязвимости были присвоены идентификаторы CVE: CVE-2025-21396 для Microsoft Account Elevation of Privilege Vulnerability и CVE-2025-21415 для Azure AI Face Service Elevation of Privilege Vulnerability. CVSS score (Common Vulnerability Scoring System) для CVE-2025-21396 составил 7.5, что указывает на серьезный уровень риска. CVSS score для CVE-2025-21415 достиг 9.9, что свидетельствует о критически опасном характере уязвимости.

Важно отметить, что обе уязвимости на данный момент полностью устранены компанией Microsoft. Разработчики оперативно выпустили необходимые патчи, и никакой дополнительной активности со стороны пользователей не требуется.

Стоит отметить вклад исследователей в обнаружение уязвимостей. Уязвимость CVE-2025-21415 была обнаружена анонимным исследователем, а CVE-2025-21396 была найдена Sugobet (под псевдонимом).

Microsoft активно работает над повышением прозрачности в вопросах безопасности облачных сервисов. В рамках этой инициативы, начиная с июня 2024 года, компания публикует CVE (Common Vulnerabilities and Exposures) для уязвимостей в облачных сервисах, даже если для их устранения не требуется немедленных действий со стороны клиентов.

Высокий CVSS score (9.9) для уязвимости Azure AI Face Service (CVE-2025-21415) подчеркивает серьезность потенциальных последствий, которые могли бы возникнуть в случае ее эксплуатации. Существование PoC эксплойта для этой уязвимости лишь подчеркивает важность своевременного реагирования на подобные угрозы.

Проактивный подход Microsoft к раскрытию информации об уязвимостях в облачных сервисах отражает приверженность компании принципам безопасности и прозрачности, даже если не требуется немедленных действий со стороны пользователей.

В целом, данная ситуация подчеркивает важность постоянного мониторинга и оперативного устранения уязвимостей в программном обеспечении. Несмотря на то, что в данном случае Microsoft успешно справилась с угрозой, пользователям всегда следует быть бдительными и следить за обновлениями безопасности от поставщиков программного обеспечения.


Новое на сайте

18247Зачем мозг в фазе быстрого сна стирает детали воспоминаний? 18246Мог ли древний яд стать решающим фактором в эволюции человека? 18245Тайна колодца Мурсы: раны и днк раскрыли судьбу павших солдат 18244Битва за миллиардный сэндвич без корочки 18243Почему ваши расширения для VS Code могут оказаться шпионским по? 18242Как подать заявку FAFSA на 2026-27 учебный год и получить финансовую помощь? 18241Мог ли взлом F5 раскрыть уязвимости нулевого дня в продукте BIG-IP? 18240CVS завершает поглощение активов обанкротившейся сети Rite Aid 18239Nvidia, BlackRock и Microsoft покупают основу для глобального ИИ за $40 миллиардов 18238Действительно ли только род Homo создавал орудия труда? 18237Инженерный триумф: сотрудник Rivian вырастил тыкву-победителя 18236Процент с прибыли: как инвесторы создали новый источник финансирования для... 18235Почему синхронизируемые ключи доступа открывают двери для кибератак на предприятия?