安全公司發(fā)文吐槽：去年 9 月向微軟報告漏洞，至今仍可復現

　　IT之家 8 月 17 日消息，網(wǎng)絡(luò )安全公司 AquaSec（Aqua Security）近日發(fā)布報告，表示微軟在明顯知情的情況下，始終沒(méi)有修復存在于 PowerShell Gallery 中的一系列安全漏洞。

　　IT之家注：PowerShell Gallery 是一個(gè)包存儲庫，包含腳本、模塊以及可供下載和使用的 DSC 資源。

　　報告中披露了 PowerShell Gallery 存儲庫中存在的 3 大漏洞，主要集中在欺騙和偽造方面。報告中表示微軟在很早之前就已經(jīng)發(fā)現了這些漏洞，但至今仍未實(shí)施任何修復。

　　IT之家根據博文報道，匯總時(shí)間軸如下：

• 　　2022 年 9 月 27 日 - Aqua 研究團隊向 MSRC 報告了系列漏洞。

  　　

• 　　2022 年 10 月 20 日 - MSRC 確認了我們報告的行為。

  　　

• 　　2022 年 11 月 2 日 - MSRC 表示問(wèn)題已得到修復（無(wú)法提供在線(xiàn)服務(wù)中產(chǎn)品修復的詳細信息）。

  　　

• 　　2022 年 12 月 26 日 - Aqua 團隊復現了相關(guān)漏洞（無(wú)法預防）。

  　　

• 　　2023 年 1 月 3 日 - Aqua 研究團隊重新啟動(dòng)了有關(guān) MSRC 缺陷的報告。

  　　

• 　　2023 年 1 月 3 日 - MSRC 確認了報告的行為。

  　　

• 　　2023 年 1 月 10 日 - MSRC 將報告標記為已解決。

  　　

• 　　2023 年 1 月 15 日 - MSRC 回應說(shuō)：“工程團隊仍在努力修復錯別字和軟件包細節欺騙問(wèn)題。對于發(fā)布到 PSGallery 的新模塊，我們目前有一個(gè)短期解決方案”。

  　　

• 　　2023 年 3 月 7 日 - MSRC 回應："反應性修復已到位"。

  　　

• 　　2023 年 8 月 16 日 - 漏洞仍可復現。