微软修补了网络产品中的“极其”严重漏洞 - 彭博社

嘿，纽约的威廉在这里。微软刚刚修复了一些关键产品中的一些严重安全漏洞。但首先…

今日科技头条：

• 苹果是第一个在奥斯卡获得最佳影片奖的流媒体服务
• 索尼正准备在本周推出PlayStation订阅服务
• 亚马逊游戏工作室的负责人离职

微软的重大修复

当安全软件实际上成为您安全的弱点时会发生什么？

去年，安全研究人员在一份专门提供给彭博新闻的即将发布的报告中发现了微软公司一款旨在保护物联网设备和工业控制系统网络的产品中的五个关键软件漏洞。

这些问题是由网络公司SentinelOne发现的，被评为“极其”严重，其中一个漏洞将使黑客能够利用密码恢复工具中的漏洞来破坏受微软Defender for IoT保护的技术。六个月后，SentinelOne报告了在微软Defender for IoT中发现的漏洞，Redmond发布了修复程序，但并没有引起太多关注。

虽然没有证据表明攻击者利用这个漏洞谋取私利，但微软Defender应该增加一层安全性，而不是为黑客提供利用系统的新途径。SentinelOne的报告由Kasif Dekel和Ronen Shustin撰写，报告称这一发现“引发了关于安全产品本身的安全性以及它们对易受攻击部门整体安全状况的严重问题”。

微软Defender产品需要深入访问客户网络才能执行其安全功能。正是这种访问方式可能成为一个潜在的金矿，谁能够找出如何将安全产品反过来利用，正如最近研究国家黑客的SentinelOne的研究员Juan Andrés Guerrero-Saade告诉我的那样。

“可悲的是，我认为我们发现的事情反映了一般网络安全产品的质量，”他说。“我认为这有点更加令人不安，因为Defender for IoT正在保护的是这种类型的产品。”

这一发现的消息也与美国国家安全官员以及总统乔·拜登本人的反复警告同时出现，要求美国公司升级他们的技术，并警惕潜在的俄罗斯国家支持的黑客。这只是一个威胁：上周，我们披露，Lapsus$勒索团伙，已经入侵了一些最大的美国科技公司，包括微软，被认为是一个与他的父母一起生活在英国的16岁少年的创意。

当被问及SentinelOne发现的问题时，微软发言人表示，公司遵循公认的漏洞披露实践，并与合作伙伴合作解决其产品中的任何问题。

“我们解决了提到的具体问题，我们感谢发现者与我们合作确保客户的安全，”发言人说。

但俄罗斯黑客和英国少年只是当前明显的安全问题。

SentinelOne研究人员指出，Defender产品中包含了来自CyberX的代码，后者是微软在2020年收购的一家公司。随着网络安全行业的兼并和收购不断进行，一个安全产品中的问题可能会传播到另一个产品中。有时，要解决从收购软件中获取的过时或有缺陷的代码可能需要数年的时间。

Guerrero-Saade敦促网络客户利用当前时刻向供应商施压，确保他们的技术尽可能强大。

“尝试保护庞大的代码库并不是一项令人羡慕的任务，”Guerrero-Saade说道。“也就是说，我们相信那些长期从事这项工作的大公司会这样做。如果我们不能信任他们，那还能信任谁呢？” —William Turton

如果您只读一篇文章

俄罗斯网络安全供应商卡巴斯基和两家中国公司被列入了一份名单，被认为对美国国家安全构成威胁，这是美国联邦通信委员会为减轻一些外国技术带来的风险而制定的战略。一旦一家公司被列入名单，联邦补贴就不能用于购买其设备或服务。

您还需要了解什么

苹果敦促一家联邦上诉法院维护一项基本上为其商业模式辩护的裁决，该模式向开发者收取佣金。

科技巨头避免了欧洲的一场监管末日情景。

印尼初创巨头GoToGroup在其首次公开募股中筹集了约11亿美元。

卡塔尔的****4500亿美元财富基金正在押注初创企业。

**值得关注的是：**Ursa Major的创始人谈论乌克兰战争对国防技术的影响。

Nvidia Corp.在芯片制造商发布又一个令人瞠目的销售预测后，股价上涨了大约九个月，为股市的涨势增添了新的动力，使其成为全球市值最高的芯片制造商。

该公司在本期的收入将约为240亿美元，周三在一份声明中表示。分析师平均预测为219亿美元。第四季度的业绩也远超华尔街的预期。