微軟修補了網絡產品中的“極其”嚴重漏洞 - 彭博社

嘿，紐約的威廉在這裏。微軟剛剛修復了一些關鍵產品中的一些嚴重安全漏洞。但首先…

今日科技頭條：

• 蘋果是第一個在奧斯卡獲得最佳影片獎的流媒體服務
• 索尼正準備在本週推出PlayStation訂閲服務
• 亞馬遜遊戲工作室的負責人離職

微軟的重大修復

當安全軟件實際上成為您安全的弱點時會發生什麼？

去年，安全研究人員在一份專門提供給彭博新聞的即將發佈的報告中發現了微軟公司一款旨在保護物聯網設備和工業控制系統網絡的產品中的五個關鍵軟件漏洞。

這些問題是由網絡公司SentinelOne發現的，被評為“極其”嚴重，其中一個漏洞將使黑客能夠利用密碼恢復工具中的漏洞來破壞受微軟Defender for IoT保護的技術。六個月後，SentinelOne報告了在微軟Defender for IoT中發現的漏洞，Redmond發佈了修復程序，但並沒有引起太多關注。

雖然沒有證據表明攻擊者利用這個漏洞謀取私利，但微軟Defender應該增加一層安全性，而不是為黑客提供利用系統的新途徑。SentinelOne的報告由Kasif Dekel和Ronen Shustin撰寫，報告稱這一發現“引發了關於安全產品本身的安全性以及它們對易受攻擊部門整體安全狀況的嚴重問題”。

微軟Defender產品需要深入訪問客户網絡才能執行其安全功能。正是這種訪問方式可能成為一個潛在的金礦，誰能夠找出如何將安全產品反過來利用，正如最近研究國家黑客的SentinelOne的研究員Juan Andrés Guerrero-Saade告訴我的那樣。

“可悲的是，我認為我們發現的事情反映了一般網絡安全產品的質量，”他説。“我認為這有點更加令人不安，因為Defender for IoT正在保護的是這種類型的產品。”

這一發現的消息也與美國國家安全官員以及總統喬·拜登本人的反覆警告同時出現，要求美國公司升級他們的技術，並警惕潛在的俄羅斯國家支持的黑客。這只是一個威脅：上週，我們披露，Lapsus$勒索團伙，已經入侵了一些最大的美國科技公司，包括微軟，被認為是一個與他的父母一起生活在英國的16歲少年的創意。

當被問及SentinelOne發現的問題時，微軟發言人表示，公司遵循公認的漏洞披露實踐，並與合作伙伴合作解決其產品中的任何問題。

“我們解決了提到的具體問題，我們感謝發現者與我們合作確保客户的安全，”發言人説。

但俄羅斯黑客和英國少年只是當前明顯的安全問題。

SentinelOne研究人員指出，Defender產品中包含了來自CyberX的代碼，後者是微軟在2020年收購的一家公司。隨着網絡安全行業的兼併和收購不斷進行，一個安全產品中的問題可能會傳播到另一個產品中。有時，要解決從收購軟件中獲取的過時或有缺陷的代碼可能需要數年的時間。

Guerrero-Saade敦促網絡客户利用當前時刻向供應商施壓，確保他們的技術儘可能強大。

“嘗試保護龐大的代碼庫並不是一項令人羨慕的任務，”Guerrero-Saade説道。“也就是説，我們相信那些長期從事這項工作的大公司會這樣做。如果我們不能信任他們，那還能信任誰呢？” —William Turton

如果您只讀一篇文章

俄羅斯網絡安全供應商卡巴斯基和兩家中國公司被列入了一份名單，被認為對美國國家安全構成威脅，這是美國聯邦通信委員會為減輕一些外國技術帶來的風險而制定的戰略。一旦一家公司被列入名單，聯邦補貼就不能用於購買其設備或服務。

您還需要了解什麼

蘋果敦促一家聯邦上訴法院維護一項基本上為其商業模式辯護的裁決，該模式向開發者收取佣金。

科技巨頭避免了歐洲的一場監管末日情景。

印尼初創鉅頭GoToGroup在其首次公開募股中籌集了約11億美元。

卡塔爾的****4500億美元財富基金正在押注初創企業。

**值得關注的是：**Ursa Major的創始人談論烏克蘭戰爭對國防技術的影響。

Nvidia Corp.在芯片製造商發佈又一個令人瞠目的銷售預測後，股價上漲了大約九個月，為股市的漲勢增添了新的動力，使其成為全球市值最高的芯片製造商。

該公司在本期的收入將約為240億美元，週三在一份聲明中表示。分析師平均預測為219億美元。第四季度的業績也遠超華爾街的預期。