1月29日微軟發布兩則資安公告,苦主是Azure AI臉部辨識服務、Microsoft Account這兩套系統,各自存在1個重大層級的漏洞,攻擊者可在特定條件下,藉機提升權限。
根據CVSS風險評分,較為嚴重的是CVE-2025-21415,通過身分驗證的攻擊者可藉由欺騙Azure AI臉部辨識服務,從而達到繞過身分驗證的目的,風險評分達到9.9(滿分10分)。
另一個存在於Microsoft Account的漏洞CVE-2025-21396,起因是缺乏授權,從而允許未經授權的攻擊者提升權限,CVSS風險評為7.5。
微軟表示,他們已經完全緩解上述漏洞,使用者無須採取行動因應,發布這些資安公告的目的是維持漏洞資訊的透明,但也提及CVE-2025-21415有概念驗證程式(PoC)出現的情況,後續發展有待觀察。
熱門新聞
2025-02-08
2025-02-08
2025-02-10
2025-02-08
2025-02-08
2025-02-08
2025-02-08
Advertisement