近期，安全公司W(wǎng)iz發(fā)現(xiàn)了微軟云服務(wù)Azure的旗艦數(shù)據(jù)庫(kù)Cosmos存在超過(guò)2年的安全漏洞。

這個(gè)漏洞被稱為“ChaosDB”。利用它，網(wǎng)絡(luò)入侵者能夠讀取、刪除、修改存放在Azure上Cosmos數(shù)據(jù)庫(kù)的信息。

[[420123]]

特別尷尬的是，在微軟Azure云服務(wù)器上配置Cosmos數(shù)據(jù)庫(kù)過(guò)程中，會(huì)默認(rèn)在“Jupiter Notebook”可視化特性啟用錯(cuò)誤的配置，而這個(gè)錯(cuò)誤的配置會(huì)導(dǎo)致攻擊者能夠訪問(wèn)攻擊向量、觸發(fā)權(quán)限提升、破壞數(shù)據(jù)庫(kù)，并且能夠獲取對(duì)數(shù)據(jù)庫(kù)托管的主密鑰、以及存儲(chǔ)訪問(wèn)令牌的訪問(wèn)權(quán)限。

不過(guò)萬(wàn)幸的是，目前沒(méi)有黑客利用這個(gè)漏洞發(fā)起攻擊。

微軟于8月12日知悉了這一漏洞，并在14日修復(fù)了該問(wèn)題，目前正在緊急發(fā)送郵件通知客戶更換私鑰，以避免這個(gè)漏洞造成的影響。

據(jù)了解，受影響的客戶包括埃森克美孚、可口可樂(lè)、賽門(mén)鐵克、蔡司等國(guó)際知名公司，而且，連微軟自家的Skype、Xbox、Office等服務(wù)也被波及到了。