ไม่ใช่แค่ Apple- Microsoft ยังทิ้งกุญแจสู่อาณาจักรของพวกเขาด้วย

หน้าแรก » ไมโครซอฟท์

ไอคอนเวลาอ่านหนังสือ 2 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ

by ซูร์ เดวิดส์ 

เผยแพร่บน

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

เราโพสต์เมื่อเร็วๆนี้บน จำนวนของ ความปลอดภัยที่ร้ายแรง snafus โดย Apple ซึ่งจะทำให้ผู้ที่มีความรู้สามารถเข้าถึงพีซีของคุณหรือแม้แต่ที่บ้านได้อย่างง่ายดาย

มักจะเป็นกรณีที่โชคชะตาดึงดูด แต่ปรากฏว่า Microsoft มีช่องโหว่ด้านความปลอดภัยที่ร้ายแรงของตัวเอง และแตกต่างจาก Apple ที่พวกเขาตอบสนองต่อปัญหาได้ช้ามาก

ITNews รายงาน tMatthias Gliwka ผู้พัฒนาซอฟต์แวร์ hat พบว่า Microsoft ได้รวมใบรับรอง wildcard transport layer security (TLS) ที่เรียกว่าไวด์การ์ด ซึ่งรวมถึงคีย์ส่วนตัวเมื่อตั้งค่าสภาพแวดล้อมการทดสอบแซนด์บ็อกซ์สำหรับ Dynamics 365 ซอฟต์แวร์ตัวจัดการลูกค้าสัมพันธ์ของ Microsoft และซอฟต์แวร์การวางแผนทรัพยากรองค์กร คีย์เมื่อส่งออกทำให้แฮ็กเกอร์สามารถถอดรหัสทราฟฟิกที่มีข้อมูลประจำตัวดิจิทัลและปลอมแปลงเป็นเซิร์ฟเวอร์ เผยให้เห็นการสื่อสารของลูกค้าโดยไม่ถูกตรวจจับ นอกจากนี้ยังครอบคลุมโดเมน *.sandbox.operations.dynamics.com ทั้งหมด (แม้แต่บริษัทอื่น) หมายความว่าใบรับรองจะมีสิทธิ์เข้าถึงสภาพแวดล้อมแซนด์บ็อกซ์ของ Dynamics 365 ทั้งหมด แซนด์บ็อกซ์ที่ใช้สำหรับการทดสอบ มักจะมีมิเรอร์แบบเต็มของฐานข้อมูลสุดท้าย

แน่นอน ทุกบริษัททำผิดพลาด แต่การตอบสนองช้าของ Microsoft ต่อปัญหานี้เป็นส่วนที่ให้อภัยไม่ได้จริงๆ Gliwka รายงานช่องโหว่ไปยังศูนย์ตอบกลับด้านความปลอดภัยของ Microsoft (MSRC) เมื่อกลางเดือนสิงหาคม แต่ Microsoft ไม่คิดว่าปัญหานี้ตรงกับ "แถบสำหรับการให้บริการด้านความปลอดภัย" เพราะเชื่อว่าผู้โจมตีต้องการข้อมูลประจำตัวของผู้ดูแลระบบ Gliwka พยายามต่อไปจนถึงเดือนตุลาคม เมื่อเขาถาม Microsoft บน Twitter เกี่ยวกับปัญหาต่อสาธารณะ ตอนนั้นเองที่เขาบอกว่าจะแก้ไขในไม่ช้า

แม้จะมีการรับรองนี้ แต่ Microsoft ไม่ได้เพิกถอนใบรับรอง Dynamics 365 ที่รั่วไหลจนกว่าสื่อเยอรมันจะเข้ามาเกี่ยวข้องในเดือนพฤศจิกายนและนักข่าวคนหนึ่งเปิดตั๋วในระบบติดตามบั๊กของ Mozilla

Microsoft เพิ่งเสร็จสิ้นการแก้ไขปัญหาเมื่อสัปดาห์ที่แล้ว เต็ม 100 วันหลังจากรายงานครั้งแรก

ดังที่ได้กล่าวไว้ก่อนหน้านี้ ทุกบริษัทมีข้อผิดพลาด แต่จะกลายเป็นข้อผิดพลาดก็ต่อเมื่อคุณปฏิเสธที่จะแก้ไข เนื่องจากฐานข้อมูล CRM มีข้อมูลจำนวนมหาศาล ซึ่งโดยปกติแล้วจะเป็นข้อมูลสาธารณะ ทัศนคติที่หละหลวมเช่นนี้จึงค่อนข้างยากที่จะแก้ตัว และเราหวังว่าบริษัทจะสามารถทำได้ดีขึ้นในอนาคต

อ่านรายละเอียดเพิ่มเติมได้ที่ โพสต์สื่อของ Gliwka ที่นี่

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: 365 Dynamics, ไมโครซอฟท์, ความปลอดภัย

ซูร์ เดวิดส์

ซูร์ เดวิดส์ โล่

ผู้เชี่ยวชาญด้านสมาร์ทโฟน

Surur Davids เป็นผู้ก่อตั้ง WMPoweruser ซึ่งต่อมากลายเป็น MSPoweruser.com เขาเป็นผู้เชี่ยวชาญด้านสมาร์ทโฟนที่มีประสบการณ์มากกว่าทศวรรษ