ក្រុមហ៊ុន Microsoft ដោះស្រាយបញ្ហា Power Pages ដែលត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារ

0

ក្រុមហ៊ុន Microsoft បានចេញដំណោះស្រាយបញ្ហាសុវត្ថិភាពសម្រាប់ភាពងាយរងគ្រោះនៃការបង្កើនសិទ្ធិនៅក្នុង Power Pages ដែលបណ្តាលឱ្យហេគឃ័រអាចកេងចំណេញលើបញ្ហានេះប្រើជា Zero-Day នៅក្នុងការវាយប្រហារ។បញ្ហា Tracked as CVE-2025-24989 គឺជាបញ្ហានៃការគ្រប់គ្រងដំណើរការមិនត្រឹមត្រូវដែលប៉ះពាល់ដល់ Power Pages ដែលអនុញ្ញាតឱ្យជនខិលខូចដែលគ្មានសិទ្ធិអាចបង្កើនសិទ្ធិរបស់ពួកគេចូលទៅក្នុងបណ្តាញណិតវើក និងឆ្លងកាត់ការគ្រប់គ្រងការចុះឈ្មោះអ្នកប្រើប្រាស់។ ក្រុមហ៊ុន Microsoft ថ្លែងថា វាបានដោះស្រាយបញ្ហានេះនៅក្នុងកម្រិតសេវា (Service Level) និងបានជូនដំណឹងទៅអតិថិជនដែលរងផលប៉ះពាល់ ដោយមានភ្ជាប់នូវសេចក្តីណែនាំពីរបៀបស្វែងរកការព្យាយាមគ្រប់គ្រងដោយការកេងចំណេញ​​​​​​​​​​​​​ ដែលអាចកើតមាន។

គួរបញ្ជាក់ដែរថា Microsoft Power Pages គឺជា Low-Code ដែលជាផ្លេតហ្វមអភិវឌ្ឍ Web មានមូលដ្ឋានលើ SaaS ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បង្កើត បង្ហោះ និងគ្រប់គ្រងគេហទំព័រអាជីវកម្ម External-Facing ដ៏មានសុវត្ថិភាព។ វាគឺជាផ្នែកមួយនៃ Microsoft Power Platform ដែលរួមមាន Tool ដូចជា Power BI, Power Apps និង Power Automate។

តាំងពី Power Pages ក្លាយជាសេវាកម្មមានមូលដ្ឋានលើក្លោដមក វាត្រូវបានសន្មតថាការបំពានបានកើតឡើងដោយការបញ្ជាពីចម្ងាយ។ កម្មវិធីយក្សនេះមិនបានផ្តល់ព័ត៌មានលម្អិតពីរបៀបដែលបញ្ហាត្រូវបានបំពាននៅក្នុងការវាយប្រហារនោះទេ។ ក្រៅពីបញ្ហា Power Pages ក្រុមហ៊ុន Microsoft ក៏បានដោះស្រាយបញ្ហាភាពងាយរងគ្រោះនៃការប្រតិបត្តិការកូដពីចម្ងាយ Bing កាលពីម្សិលមិញ ដែលមានឈ្មោះថា CVE-2025-21355 ប៉ុន្តែមិនទាន់ត្រូវបានកំណត់ថាត្រូវបានកេងចំណេញនោះទេ។

បញ្ហាបានដោះស្រាយ ប៉ុន្តែទៀមទារឱ្យមានការត្រួតពិនិត្យឡើងវិញ៖ ក្រុមហ៊ុន Microsoft បានដាក់ចេញនូវដំណោះស្រាយ Power Pages Service និងអ្នកផ្គត់ផ្គង់បានចែករំលែកការណែនាំដោយផ្ទាល់ទៅកាន់អតិថិជនដែលរងគ្រោះផងដែរ។ ទោះជាយ៉ាងណា នៅមានការណែនាំសុវត្ថិភាពទូទៅមួយចំនួន ដែលអ្នកប្រើប្រាស់អាចពិចារណា។ អ្នកគ្រប់គ្រង (Admins) គួរតែត្រួតពិនិត្យមើលសកម្មភាពការ Log In ចូលណាដែលគួរឱ្យសង្ស័យ ការចុះឈ្មោះអ្នកប្រើប្រាស់ ឬការផ្លាស់ប្តូរដោយគ្មានការអនុញ្ញាត។ តាំងពី CVE-2025-24989 ដែលជាបញ្ហាមួយនៃការបង្កើនសិទ្ធិនោះ បញ្ជីអ្នកប្រើប្រាស់ក៏គួរតែត្រូវបានត្រួតពិនិត្យដើម្បីបញ្ជាក់ពីអ្នកគ្រប់គ្រង និងអ្នកប្រើប្រាស់ដែលមានសិទ្ធិពិសេសៗ។ ថ្មីៗនេះ ការផ្លាស់ប្តូរ​នៅក្នុងការបង្កើនសិទ្ធិ តួនាទីសុវត្ថិភាព ការអនុញ្ញាត និងការគ្រប់គ្រងដំណើរការ Web Page គួរតែត្រូវបានកំណត់បន្ថែមទៀត។ គណនីឆបោក ឬគណនីដែលបង្ហាញសកម្មភាពដែលគ្មានការអនុញ្ញាតគួរតែត្រូវបានបិទភ្លាមៗ បានប៉ះពាល់ដល់អត្តសញ្ញាណគួរតែកំណត់ឡើងវិញ និងការផ្ទៀងផ្ទាត់ច្រើនជាន់ (MFA) គួរតែត្រូវបានអនុវត្តនៅទូទាំងគណនីទាំងអស់។ប្រសិនបើអ្នកមិនទទួលបានការជូនដំណឹងពីក្រុមហ៊ុន Microsoft នោះទេ ប្រព័ន្ធរបស់អ្នកទំនងជាមិនរងផលប៉ះពាល់នោះដែរ។

https://www.bleepingcomputer.com/news/security/microsoft-fixes-power-pages-zero-day-bug-exploited-in-attacks/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២០ ខែកុម្ភៈ ឆ្នាំ២០២៥

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

Google នឹងដាក់សញ្ញាសម្គាល់ Android Apps ណាដែលស៊ីថ្មហួសហេតុនៅលើ Play Store

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប៉ូលីសចុះបង្ក្រាបប្រតិបត្តិការមេរោគលួចព័ត៌មាន Rhadamanthys, VenomRAT និង Elysium

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

“Bitcoin Queen” ត្រូវកាត់ទោសជាប់ពន្ធនាគារ ១១ឆ្នាំ ពីបទឆបោកកាក់ Bitcoin តម្លៃ ៧,៣ពាន់លានដុល្លារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ភ្នាក់ងារ CISA និង NSA ចែករំលែកគន្លឹះសំខាន់ការពារសុវត្ថិភាព Microsoft Exchange Servers

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការកើនឡើងដ៏ធំនៃមេរោគបញ្ជូន NFC បានលួចកាតឥណទាននៅអឺរ៉ុប

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

អាជ្ញាធរកាណាដាបានថ្លែងថា ហេគឃ័របានបំពានលើបរិក្ខារទឹក និងថាមពល

LEAVE A REPLY

Please enter your comment!
Please enter your name here