- 20,410
- 46
- 8 Ноя 2022
Microsoft починила уязвимость 2025 года ещё в 2023-м...просто потому, что могла.
Новая уязвимость протокола HTTP/2 под названием MadeYouReset ( CVE-2025-8671 ) была раскрыта 13 августа 2025 года. Она основана на том, что атакующий может отправлять специально сформированные кадры протокола, вынуждая сервер многократно сбрасывать потоки в рамках одного соединения. Такая нагрузка способна привести к значительному потреблению ресурсов и в худших случаях вызвать отказ в обслуживании (DoS) . По сути, новый метод напоминает атаку Rapid Reset ( CVE-2023-44487 ), которая также использовала возможность массовых сбросов потоков, истощая ресурсы системы.
Microsoft заявила, что сервис Azure Front Door уже защищён от MadeYouReset. Инженеры компании ещё в 2023 году, когда пришлось противостоять Rapid Reset, разработали расширенные механизмы фильтрации подобных атак. В отличие от частичных ограничений, затрагивавших только сбросы, инициированные клиентом, была реализована более строгая модель защиты. Она учитывает любые варианты отмены потоков, вне зависимости от причины, и таким образом перекрывает разные вариации эксплойтов на основе механизма reset.
Для клиентов Azure это означает, что предпринимать дополнительных действий не требуется. Защитные меры действуют автоматически, а работа сервисов остаётся устойчивой даже при попытках задействовать новый тип атак на HTTP/2. Компания подчёркивает, что принятые меры обеспечивают стабильность инфраструктуры и сохраняют высокий уровень безопасности перед лицом эволюционирующих угроз протоколов.
Новая уязвимость протокола HTTP/2 под названием MadeYouReset ( CVE-2025-8671 ) была раскрыта 13 августа 2025 года. Она основана на том, что атакующий может отправлять специально сформированные кадры протокола, вынуждая сервер многократно сбрасывать потоки в рамках одного соединения. Такая нагрузка способна привести к значительному потреблению ресурсов и в худших случаях вызвать отказ в обслуживании (DoS) . По сути, новый метод напоминает атаку Rapid Reset ( CVE-2023-44487 ), которая также использовала возможность массовых сбросов потоков, истощая ресурсы системы.
Microsoft заявила, что сервис Azure Front Door уже защищён от MadeYouReset. Инженеры компании ещё в 2023 году, когда пришлось противостоять Rapid Reset, разработали расширенные механизмы фильтрации подобных атак. В отличие от частичных ограничений, затрагивавших только сбросы, инициированные клиентом, была реализована более строгая модель защиты. Она учитывает любые варианты отмены потоков, вне зависимости от причины, и таким образом перекрывает разные вариации эксплойтов на основе механизма reset.
Для клиентов Azure это означает, что предпринимать дополнительных действий не требуется. Защитные меры действуют автоматически, а работа сервисов остаётся устойчивой даже при попытках задействовать новый тип атак на HTTP/2. Компания подчёркивает, что принятые меры обеспечивают стабильность инфраструктуры и сохраняют высокий уровень безопасности перед лицом эволюционирующих угроз протоколов.
- Источник новости
- www.securitylab.ru
