Zde jsou podrobnosti o kritické zranitelnosti Windows, kterou NSA objevila

Domů » Microsoft

Ikona času čtení 2 min. číst

Ikona kalendáře Publikované dne

by Surur Davids 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Včera jsme informovali, že došlo k hlavní zranitelnost ve Windows který podkopal kryptografický základ OS.

Společnost Microsoft dnes vydala opravu této chyby zabezpečení a také podrobnosti týkající se problému.

„Širokou kryptografickou zranitelnost“ objevila americká Národní bezpečnostní agentura (NSA), jak potvrdila ředitelka kybernetické bezpečnosti NSA Anne Neubergerová.

Microsoft potvrdil CVE-2020-0601 zahrnuje Windows CryptoAPI a říká, že „existuje zranitelnost týkající se falšování ve způsobu, jakým Windows CryptoAPI (Crypt32.dll) ověřuje certifikáty Elliptic Curve Cryptography (ECC), které lze použít k „podepsání škodlivého spustitelného souboru, takže se zdá, že soubor pochází od důvěryhodného , legitimní zdroj."

Bylo by také použito v šifrované komunikaci, jako je HTTPS, přičemž Microsoft říká:

"Úspěšné zneužití by také mohlo útočníkovi umožnit provádět útoky typu man-in-the-middle a dešifrovat důvěrné informace o uživatelských připojeních k postiženému softwaru."

Naštěstí se tato chyba zabezpečení týká pouze verzí OS Windows 10, Windows Server 2019 a Windows Server 2016 a nebyla ve volné přírodě zneužita.

Navzdory tomu byl potenciální dopad zranitelnosti tak špatný, že NSA byla nucena ji prozradit Microsoftu, místo aby ji použila pro své vlastní účely.

Toto je první odhalení, které Microsoft připsal NSA, ale Neuberger říká, že to znamená změnu v jejich postoji k zranitelnostem, přičemž agentura se již nesnaží je hromadit. NSA také varovala infrastrukturní společnosti na zranitelnost a na to, že se blíží oprava, a plánuje vydat své vlastní bezpečnostní poradenství s informacemi o zmírnění a jak odhalit zneužívání, později ještě dnes, a také naléhat na IT pracovníky, aby urychlili instalaci dnešního Patch Tuesday. bezpečnostní aktualizace.

Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury ministerstva vnitřní bezpečnosti (DHS CISA) dnes také vydá nouzovou směrnici, která upozorní soukromý sektor a vládní subjekty v USA na nutnost instalace nejnovějších oprav operačního systému Windows.

Přes ZDNet

Více o tématech: zabezpečení, Windows 10

Surur Davids

Surur Davids Štít

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.