Microsoft MSRC soll Abhängigkeitsverwechslung-Schwachstelle ignoriert haben, behauptet Forscher
Eine Verwechslungsanfälligkeit für Abhängigkeiten (dependency confusion vulnerability), die den Microsoft Azure Portal betrifft, wurde vom Microsoft Security Response Center (MSRC) geschlossen, nachdem festgestellt wurde

Kurzfassung
Warum das wichtig ist
- Eine Verwechslungsanfälligkeit für Abhängigkeiten (dependency confusion vulnerability), die den Microsoft Azure Portal betrifft, wurde vom Microsoft Security Response Center (MSRC) geschlossen, nachdem festgestellt wurde
- Die Schwachstelle wurde im Januar 2026 vom Sicherheitsexperten Wahid Fayad während einer routinemäßigen Analyse der auf portal.azure.com bereitgestellten JavaScript-Ressourcen entdeckt.
- Beim Prüfen des gebündelten Client-seitigen Codes identifizierte Wahid Fayad eine require-Anweisung, die auf ein internes NPM-Modul namens @FxInternal/NetDiagnostics verweist – ein Scope-Paketname, der bei einer Überprüfung des öffentlichen NPM-Registers als vollständig ungenutzt festgestellt wurde.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine Verwechslungsanfälligkeit für Abhängigkeiten (dependency confusion vulnerability), die den Microsoft Azure Portal betrifft, wurde vom Microsoft Security Response Center (MSRC) geschlossen, nachdem...
Warum relevant
Weder der Organisationsnamespace @fxinternal noch das Paket netdiagnostics existieren im öffentlichen Register.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Weder der Organisationsnamespace @fxinternal noch das Paket netdiagnostics existieren im öffentlichen Register.
Dependency-Verwechslungsangriffe nutzen einen grundlegenden Mangel an vertrauenswürdigen Abgrenzungen aus: Wenn ein Paketmanager oder eine Build-Umgebung nicht zwischen einem privaten internen Paket und einem öffentlichen Paket aus einem öffentlichen Register unterscheiden kann, das denselben Namen trägt, kann es stumm zur öffentlichen Version auflösen.
Die Angriffstechnik wurde 2021 besonders bekannt gemacht und seither in großen Cloud- und Unternehmensumgebungen dokumentiert. In diesem Fall war der interne Paketname nicht nur einem bestehenden öffentlichen Paket ähnlich, sondern gänzlich im Register nicht vorhanden, sodass der Namensraum konnte.
Wahid Fayad registrierte den @fxinternal-Namensraum
Wahid Fayad registrierte den @fxinternal-Namensraum und veröffentlichte ein Platzhalter-Paket im öffentlichen NPM-Register, um ihn zu beanspruchen und den Umfang der Exposition zu testen. Die Offenlegungstimeline zeigt, dass der erste Bericht am 28.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/microsoft-dependency-confusion-msrc-report/
- Quell-URL
- https://cybersecuritynews.com/microsoft-dependency-confusion-msrc-report/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Design bei klappbaren Smartphones wandelt sich: Neue Seitenverhältnisse und intensiver Wettbewerb
Apple, Samsung und Google revolutionieren den Markt für faltbare Smartphones durch neue Geräte mit breiteren, tabletähnlichen Bildschirmen und verbesserter Benutzerfreundlichkeit, wobei Apple mit einem Modell zwischen 2.000 und 2.500 US-Dollar und verzögerter Verfügbarkeit im Jahr 2027 die Konkurrenz in Preis und Technologie herausfordert. Als Reaktion darauf passen Samsung und Google ihre Designs an, um im Herbst 2026 vor Apples Markteinführung einen Wettbewerbsvorteil zu sichern, während alle Hersteller hohe Investitionen in die Eliminierung der Falzlinie tätigen, um die Akzeptanz dieser strukturellen Neugestaltung zu erhöhen.
19.07.2026



