微软被指未修复PowerShell Gallery中的安全漏洞，引发关注

近期，网络安全领域的公司AquaSec（Aqua Security）发布了一份报告，揭示了微软公司在明知情况下持续未对其位于PowerShell Gallery（PowerShell 库）中的一系列安全漏洞进行修复的情况。

PowerShell Gallery作为一个综合存储库，涵盖了各类脚本、模块以及供下载和使用的DSC资源。

该报告详细披露了PowerShell Gallery存储库内存在的三个主要安全漏洞，主要集中在欺骗和伪造方面。据报告指出，微软公司早在较早的时间就已察觉到这些漏洞的存在，但直至今日仍未采取任何措施进行修复。这种情况引发了对于微软公司在网络安全方面的关切，特别是对于漏洞修复的时效性。如今，这一问题在网络安全领域引起了广泛关注。

汇总时间轴如下：

• 2022 年 9 月 27 日 – Aqua 研究团队向 MSRC 报告了系列漏洞。

• 2022 年 10 月 20 日 – MSRC 确认了我们报告的行为。

• 2022 年 11 月 2 日 – MSRC 表示问题已得到修复（无法提供在线服务中产品修复的详细信息）。

• 2022 年 12 月 26 日 – Aqua 团队复现了相关漏洞（无法预防）。

• 2023 年 1 月 3 日 – Aqua 研究团队重新启动了有关 MSRC 缺陷的报告。

• 2023 年 1 月 3 日 – MSRC 确认了报告的行为。

• 2023 年 1 月 10 日 – MSRC 将报告标记为已解决。

• 2023 年 1 月 15 日 – MSRC 回应说：“工程团队仍在努力修复错别字和软件包细节欺骗问题。对于发布到 PSGallery 的新模块，我们目前有一个短期解决方案”。

• 2023 年 3 月 7 日 – MSRC 回应：”反应性修复已到位”。

• 2023 年 8 月 16 日 – 漏洞仍可复现。