近日,科技领域传来消息,知名科技媒体scworld于2月4日发布报道,披露了微软成功修复其Azure AI人脸识别服务中存在的一项严重安全漏洞。该漏洞的CVSS(通用漏洞评分系统)评分高达9.9分,接近满分,被视为一项极为危险的远程提权漏洞。
Azure AI人脸识别服务,作为一项基于云计算的先进技术,广泛应用于人脸检测、分析及识别领域。开发者可借助该服务,轻松将人脸识别功能融入各类应用程序中,实现生物识别身份验证、活体检测、非接触式访问控制以及视频人脸自动编辑等多种功能。
此次被修复的漏洞编号为CVE-2025-21415,具体表现为一种欺骗性身份验证绕过漏洞。根据微软安全响应中心(MSRC)上周发布的官方安全更新,该漏洞允许已授权的攻击者非法提升其在系统中的权限。这一漏洞的严重性不容忽视,因为它允许攻击者远程发起攻击,且攻击复杂度极低,无需受害用户进行任何形式的交互。
该漏洞对系统的机密性和完整性构成了极大的威胁。一旦攻击者成功利用这一漏洞,可能导致合法用户完全丧失对Azure AI人脸识别服务的使用权限。因此,CVSS系统给出了9.9分的高危评分。
尽管目前尚无确凿证据表明已有黑客成功利用这一漏洞进行恶意攻击,但微软安全团队已经确认存在概念验证漏洞利用程序。据悉,这一漏洞是由一位匿名开发者向微软报告的。在收到报告后,微软迅速响应,部署了相应的修复程序。值得庆幸的是,此次修复无需客户采取任何额外行动,即可自动解决该漏洞带来的安全隐患。
