CVSS 評(píng)分 9.9/10：微軟火速修復(fù) Azure AI 人臉識(shí)別服務(wù)高危漏洞

IT之家 2 月 5 日消息，科技媒體 scworld 昨日（2 月 4 日）發(fā)布博文，報(bào)道稱微軟修復(fù)了 Azure AI 人臉識(shí)別漏洞，該漏洞 CVSS 評(píng)分高達(dá) 9.9（滿分為 10 分），是遠(yuǎn)程提權(quán)漏洞。

IT之家注：Azure AI 人臉識(shí)別是一項(xiàng)基于云的人臉識(shí)別服務(wù)，能夠檢測(cè)、分析和識(shí)別人臉。開(kāi)發(fā)者可以使用該服務(wù)將人臉識(shí)別功能集成到應(yīng)用程序中，用于生物識(shí)別身份驗(yàn)證、活體檢測(cè)、非接觸式訪問(wèn)控制或自動(dòng)編輯視頻中的人臉等用途。

該漏洞編號(hào)為 CVE-2025-21415，被歸類為欺騙性身份驗(yàn)證繞過(guò)漏洞，根據(jù)微軟安全響應(yīng)中心（MSRC）上周發(fā)布的安全更新，該漏洞允許“授權(quán)攻擊者”提升權(quán)限。

攻擊者可以遠(yuǎn)程利用該漏洞，且攻擊復(fù)雜度被歸類為低，無(wú)需受害用戶進(jìn)行任何交互。該漏洞對(duì)機(jī)密性和系統(tǒng)完整性構(gòu)成高度威脅，可能導(dǎo)致合法用戶完全無(wú)法使用該服務(wù)，因此 CVSS 評(píng)分高達(dá) 9.9。

MSRC 表示目前沒(méi)有證據(jù)表明已經(jīng)有黑客利用該漏洞，但存在概念驗(yàn)證漏洞利用程序。消息稱匿名開(kāi)發(fā)者向微軟報(bào)告該漏洞，微軟及時(shí)部署修復(fù)程序，無(wú)需客戶采取任何行動(dòng)即可解決該漏洞。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。