时间:2020-01-15 来源:系统堂 游览量: 次
以下是美国国家安全局发现的关键Windows漏洞的细节
昨天我们报道了一个Windows中的主要漏洞破坏了操作系统的密码基础。
今天,微软发布了漏洞的补丁,并详细说明了这个问题。
“广泛密码漏洞”是由美国国家安全局(NSA)发现,由美国国家安全局局长的网络安全安妮NueBurg.
Microsoft confirmedCVE-2020-0601涉及Windows CypAPI,并称“Windows CryptoAPI(Curt32.dll)验证椭圆曲线密码(ECC)证书的方式存在一个欺骗漏洞”,它可以用来“签署一个恶意的可执行文件,使其看起来是一个可信的合法来源”。
相关阅读:
Microsoft发布更新以修补其软件中的59个漏洞
Windows10更新KB4100347禁用某些系统上的超频
win10补丁卸载_win10强制卸载补丁_win10补丁卸载不了
它也将用于加密通信,如HTTPS,微软称:
“一个成功的开发也可以允许攻击者进行中间人攻击,并解密与受影响的软件的用户连接的机密信息。”
幸运的是,该漏洞仅影响Windows 10、Windows Server 2019和Windows Server 2016 OS版本,并且在野外尚未被开发。
尽管如此,该漏洞的潜在影响是如此之坏,国家安全局被迫将其披露给微软,而不是为了自己的目的而使用它。
这是微软首次披露给美国国家安全局的消息,但Neuberger表示,这标志着他们对漏洞的态度发生了变化,该机构现在不再指望囤积它们。国家安全局还警告了基础设施公司的脆弱性和修补程序即将到来,并计划发布自己的安全咨询,缓解信息和如何检测剥削,今天晚些时候,也敦促IT人员加快安装今天的补丁星期二安全更新。
国土安全部的网络安全与基础设施安全局(DHS CISA)今天也将发布紧急指令,提醒美国私营部门和政府实体安装最新的Windows OS修复程序的必要性。