Sadece Apple değil, Microsoft da krallıklarının anahtarlarını açıkta bıraktı

Ana Sayfa » Microsoft

Okuma zamanı simgesi 2 dk. okuman

Takvim simgesi Yayınlandı

by Surur Davutları 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Geçenlerde yayınladık birkaç ciddi güvenlik açığı Apple tarafından bu da bilgili kişilerin bilgisayarınıza ve hatta evinize kolayca erişmesini sağlar.

Çoğu zaman olduğu gibi, kaderi cezbedici olan durum, Microsoft'un kendi çok ciddi güvenlik beceriksizliğine sahip olduğu ve Apple'ın aksine, soruna yanıt vermede çok yavaş oldukları ortaya çıktı.

ITNews raporlarışapka yazılım geliştiricisi Matthias Gliwka, Microsoft'un Dynamics 365, Microsoft'un Müşteri İlişkileri Yöneticisi ve Kurumsal Kaynak Planlama yazılımı için bir korumalı alan test ortamı kurarken özel bir anahtar içeren sözde bir joker karakter taşıma katmanı güvenliği (TLS) sertifikası içerdiğini buldu. Anahtar dışa aktarıldığında, herhangi bir bilgisayar korsanının dijital kimlik bilgileriyle karıştırılan trafiğin şifresini çözmesine ve sunucunun kimliğine bürünerek müşteri iletişimlerini tespit edilmeden açığa çıkarmasına izin verdi. Ayrıca tüm *.sandbox.operations.dynamics.com alan adlarını da kapsıyordu (diğer şirketler için bile), sertifikanın tüm Dynamics 365 korumalı alan ortamlarına erişimi olacağı anlamına gelir. Test için kullanılan korumalı alanlar, genellikle nihai veritabanının tam bir aynasını içerir.

Elbette her şirket hata yapar, ancak Microsoft'un konuya yavaş yanıt vermesi, gerçekten affedilmez olan kısımdı. Gliwka, Ağustos ayının ortasında Microsoft'un güvenlik yanıt merkezine (MSRC) yönelik güvenlik açığını bildirdi, ancak Microsoft, bir saldırganın yönetici kimlik bilgileri gerektireceğine inandığından, sorunun "güvenlik hizmeti çıtasını" karşıladığını düşünmedi. Gliwka, Microsoft'a twitter'da sorunu halka açık bir şekilde sorduğunda Ekim ayına kadar başka girişimlerde bulundu. Ancak o zaman, yakında düzeltileceği söylendiğinde oldu.

Ancak bu güvenceye rağmen Microsoft, Kasım ayında Alman medyası devreye girene ve bir gazeteci Mozilla'nın hata izleme sisteminde bir bilet açana kadar sızdırılan Dynamics 365 sertifikasını iptal etmedi.

Microsoft, sorunu çözmeyi yalnızca geçen hafta, ilk rapordan tam 100 gün sonra tamamladı.

Daha önce de belirtildiği gibi, her şirket hata yapar, ancak yalnızca düzeltmeyi reddederseniz hatalara dönüşürler. CRM veritabanlarının genellikle genel halka ait çok büyük miktarda veri içerdiği göz önüne alındığında, böyle bir gevşek tavrın mazur görülmesi oldukça zor görünüyor ve şirketin gelecekte daha iyisini yapabileceğini umuyoruz.

Sorunla ilgili daha fazla ayrıntıyı şu adresten okuyun: Gliwka'nın Medium yazısı burada.

Konular hakkında daha fazla bilgi: Dynamics 365, microsoft, güvenlik

Surur Davutları

Surur Davutları Kalkan

Akıllı Telefon Uzmanı

Surur Davids, daha sonra MSPoweruser.com adını alan WMPoweruser'ın kurucusudur. On yıldan fazla deneyime sahip bir akıllı telefon uzmanıdır.