近日,科技領域傳來消息,知名科技媒體scworld于2月4日發布報道,披露了微軟成功修復其Azure AI人臉識別服務中存在的一項嚴重安全漏洞。該漏洞的CVSS(通用漏洞評分系統)評分高達9.9分,接近滿分,被視為一項極為危險的遠程提權漏洞。
Azure AI人臉識別服務,作為一項基于云計算的先進技術,廣泛應用于人臉檢測、分析及識別領域。開發者可借助該服務,輕松將人臉識別功能融入各類應用程序中,實現生物識別身份驗證、活體檢測、非接觸式訪問控制以及視頻人臉自動編輯等多種功能。
此次被修復的漏洞編號為CVE-2025-21415,具體表現為一種欺騙性身份驗證繞過漏洞。根據微軟安全響應中心(MSRC)上周發布的官方安全更新,該漏洞允許已授權的攻擊者非法提升其在系統中的權限。這一漏洞的嚴重性不容忽視,因為它允許攻擊者遠程發起攻擊,且攻擊復雜度極低,無需受害用戶進行任何形式的交互。
該漏洞對系統的機密性和完整性構成了極大的威脅。一旦攻擊者成功利用這一漏洞,可能導致合法用戶完全喪失對Azure AI人臉識別服務的使用權限。因此,CVSS系統給出了9.9分的高危評分。
盡管目前尚無確鑿證據表明已有黑客成功利用這一漏洞進行惡意攻擊,但微軟安全團隊已經確認存在概念驗證漏洞利用程序。據悉,這一漏洞是由一位匿名開發者向微軟報告的。在收到報告后,微軟迅速響應,部署了相應的修復程序。值得慶幸的是,此次修復無需客戶采取任何額外行動,即可自動解決該漏洞帶來的安全隱患。
