Microsoft vá lỗ hổng nghiêm trọng của Azure AI Face Service bằng CVSS 9.9 Score
Microsoft vá lỗ hổng nghiêm trọng của Azure AI Face Service bằng CVSS 9.9 Score
Microsoft đã phát hành bản vá để giải quyết hai lỗ hổng bảo mật được đánh giá là Nghiêm trọng ảnh hưởng đến Azure AI Face Service và Tài khoản Microsoft, có thể cho phép kẻ tấn công leo thang đặc quyền trong một số điều kiện nhất định.
.png "Microsoft vá lỗ hổng nghiêm trọng của Azure AI Face Service bằng CVSS 9.9 Score")
Vào ngày 4 tháng 2 năm 2025, Microsoft đã phát hành các bản vá để khắc phục hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Azure AI Face Service và Microsoft Account, cho phép kẻ tấn công có thể leo thang đặc quyền trong một số điều kiện nhất định.
Các lỗi được vá lỗi liệt kê bên dưới -
CVE-2025-21396 (Điểm CVSS: 7,5) - Lỗ hổng nâng cao đặc quyền của Tài khoản Microsoft
CVE-2025-21415 (Điểm CVSS: 9,9) - Lỗ hổng nâng cao đặc quyền của Dịch vụ Azure AI Face
Lỗ hổng đầu tiên, được định danh là CVE-2025-21396 với điểm CVSS 7.5, là lỗ hổng leo thang đặc quyền trong Microsoft Account. Lỗ hổng này xuất phát từ việc thiếu xác thực, có thể cho phép kẻ tấn công không được ủy quyền leo thang đặc quyền qua mạng. Nhà nghiên cứu bảo mật có biệt danh Sugobet đã được ghi nhận vì phát hiện ra lỗ hổng này.
Lỗ hổng thứ hai, CVE-2025-21415 với điểm CVSS 9.9, là lỗ hổng leo thang đặc quyền trong Azure AI Face Service. Theo Microsoft, "việc bỏ qua xác thực bằng cách giả mạo trong Azure AI Face Service cho phép kẻ tấn công được ủy quyền leo thang đặc quyền qua mạng". Một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng này.
Microsoft cũng lưu ý rằng họ đã biết về sự tồn tại của mã khai thác bằng chứng khái niệm (PoC) cho CVE-2025-21415 và cả hai lỗ hổng đã được khắc phục hoàn toàn. Các thiếu sót này không yêu cầu hành động từ phía khách hàng.
Những thông báo này là một phần trong nỗ lực liên tục của Microsoft nhằm cải thiện tính minh bạch bằng cách phát hành CVE cho các lỗ hổng dịch vụ đám mây quan trọng, bất kể khách hàng có cần cài đặt bản vá hoặc thực hiện các hành động khác để tự bảo vệ hay không. Microsoft nhấn mạnh rằng việc chia sẻ công khai thông tin về các lỗ hổng được phát hiện và giải quyết giúp Microsoft và các đối tác học hỏi và cải thiện, góp phần vào sự an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.
Hương - Theo TheHackerNews
Tin liên quan:
Nhân dịp kỷ niệm 50 năm ngày Giải Phóng Miền Nam Thống Nhất Đất Nước 30/4, NTS xin thông báo đến Quý khách hàng và đối tác, chúng tôi sẽ nghỉ lễ Giải...
Chi tiết.jpg)
Trong bối cảnh các doanh nghiệp ngày càng chú trọng tăng cường bảo mật cho hệ thống mạng trực tuyến, một hình thức tấn công “thầm lặng” nhưng cực kỳ...
Chi tiết.png)
Sau ngày 30/06/2025, các dòng sản phẩm bảo mật doanh nghiệp của Kaspersky hiện tại sẽ được thay thế bởi bộ giải pháp Kaspersky Next hiện đại và mạnh...
Chi tiết