Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Microsoft, bilgisayar korsanlarının kullanıcıların hesaplarını ele geçirmesini zorlaştırmak için bulut platformunun oturum açma sistemini sıkılaştırıyor.
Önümüzdeki Ekim ayından itibaren Microsoft’un Entra ID bulut kimlik yönetimi platformu, “güvenilir Microsoft etki alanlarından” gelmediği sürece komut dosyalarının oturum açma işlemi sırasında çalışmasını engelleyecek. şirket Pazartesi günü şunları söyledi:.
Entra ID ürün yöneticisi Ankur Patel bir blog yazısında şöyle yazdı: “Bu, saldırganların web sitelerine kötü amaçlı kodlar yerleştirebileceği siteler arası komut dosyası oluşturma (XSS) gibi mevcut güvenlik risklerine karşı kullanıcılarınızı daha da koruyan proaktif bir önlemdir.”
Değişiklik, Microsoft’un bir dizi ulus devlet siber saldırısının açığa çıkmasının ardından duyurduğu Güvenli Gelecek Girişiminin bir parçası. sistemik zayıflıklar Microsoft’un güvenlik duruşunda.
Microsoft, komut dosyası kısıtlamalarını bir değişiklik yoluyla uygulayacağını söyledi. İçerik Güvenliği Politikası tarayıcı güvenlik başlığıweb tarayıcılarına içeriği güvenli bir şekilde nasıl yöneteceklerini söyleyen bir kod parçasıdır.
Güncelleme, web tarayıcıları dışındaki uygulamalarda kimlik doğrulamayı gerçekleştiren Entra Harici Kimlik için geçerli olmayacaktır.
Microsoft, “sorunsuz bir kullanıma sunulmasını sağlamak için” kuruluşları değişiklikten önce oturum açma süreçlerini test etmeye teşvik etti.
Kalıcı kusur
Yazılım geliştiricileri siteler arası komut dosyası çalıştırma saldırılarının risklerini onlarca yıldır biliyorlar, ancak bu saldırılar bilgisayar korsanları için güçlü bir araç olmaya devam ediyor çünkü altta yatan güvenlik açıkları, en yeni araçlarla geliştirilen modern uygulamalarda bile yaygın kalıyor.
Şirket, “Microsoft olarak, eski portallardan yeni dağıtılan tek sayfalı uygulamalara kadar hizmetlerimiz genelinde sürekli bir XSS raporu akışı alıyoruz” dedi. bir Eylül blog yazısı. Gönderiye göre Microsoft Güvenlik Yanıt Merkezi, Ocak 2024 ile 2025 ortası arasında yaklaşık 1.000 XSS güvenlik açığını giderdi.
Microsoft, “Tarayıcı güvenliği, içerik güvenliği politikaları (CSP) ve varsayılan olarak güvenli kitaplıklardaki gelişmelere rağmen, XSS, gerçek dünyada sonuçları olan kalıcı bir tehdit vektörü olmaya devam ediyor” dedi.