注:PowerShell Gallery 是一个包存储库,包含脚本、模块以及可供下载和使用的 DSC 资源。
报告中披露了 PowerShell Gallery 存储库中存在的 3 大漏洞,主要集中在欺骗和伪造方面。报告中表示微软在很早之前就已经发现了这些漏洞,但至今仍未实施任何修复。
根据博文报道,汇总时间轴如下:
2022 年 9 月 27 日 - Aqua 研究团队向 MSRC 报告了系列漏洞。
2022 年 10 月 20 日 - MSRC 确认了我们报告的行为。
2022 年 11 月 2 日 - MSRC 表示问题已得到修复(无法提供在线服务中产品修复的详细信息)。
2022 年 12 月 26 日 - Aqua 团队复现了相关漏洞(无法预防)。
2023 年 1 月 3 日 - Aqua 研究团队重新启动了有关 MSRC 缺陷的报告。
2023 年 1 月 3 日 - MSRC 确认了报告的行为。
2023 年 1 月 10 日 - MSRC 将报告标记为已解决。
2023 年 1 月 15 日 - MSRC 回应说:“工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到 PSGallery 的新模块,我们目前有一个短期解决方案”。
2023 年 3 月 7 日 - MSRC 回应:"反应性修复已到位"。
2023 年 8 月 16 日 - 漏洞仍可复现。
相关教程
2024-09-11
2024-04-10
2023-03-21
2023-03-11
2023-05-31
2024-03-05
2023-03-15
2024-06-12
2023-05-02
2023-03-23
2023-09-10
2024-10-23
2024-10-22
2024-10-22
2024-10-21