Berikut adalah rincian kerentanan Windows kritis yang ditemukan NSA

Beranda » Microsoft

Ikon waktu membaca 2 menit Baca

Ikon kalender Ditampilkan di

by Surur Davids 

Diterbitkan di

Bagikan artikel ini

Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

Kami melaporkan kemarin ada kerentanan utama di Windows yang merusak dasar kriptografi OS.

Hari ini Microsoft merilis tambalan untuk kerentanan dan juga detail terkait masalah tersebut.

“Kerentanan kriptografi yang luas” ditemukan oleh Badan Keamanan Nasional AS (NSA), sebagaimana dikonfirmasi oleh Direktur Keamanan Siber NSA Anne Neuberger.

Microsoft mengonfirmasi CVE-2020-0601 melibatkan Windows CryptoAPI dan mengatakan "kerentanan spoofing ada dalam cara Windows CryptoAPI (Crypt32.dll) memvalidasi sertifikat Elliptic Curve Cryptography (ECC)" yang dapat digunakan untuk "menandatangani executable berbahaya, membuatnya tampak file itu dari tepercaya , sumber yang sah.”

Itu juga akan digunakan dalam komunikasi terenkripsi seperti HTTPS, dengan Microsoft mengatakan:

“Eksploitasi yang berhasil juga dapat memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke perangkat lunak yang terpengaruh.”

Untungnya, kerentanan hanya memengaruhi versi OS Windows 10, Windows Server 2019, dan Windows Server 2016, dan belum dieksploitasi secara liar.

Meskipun demikian, potensi dampak kerentanan sangat buruk sehingga NSA terpaksa mengungkapkannya ke Microsoft, alih-alih menggunakannya untuk tujuan mereka sendiri.

Ini adalah pengungkapan pertama yang dikreditkan Microsoft ke NSA, tetapi Neuberger mengatakan itu menandai perubahan dalam sikap mereka terhadap kerentanan, dengan agensi sekarang tidak lagi ingin menimbunnya. NSA juga telah memperingatkan perusahaan infrastruktur tentang kerentanan dan bahwa patch akan datang, dan berencana untuk merilis penasihat keamanannya sendiri, dengan informasi mitigasi dan cara mendeteksi eksploitasi, hari ini juga, juga mendesak staf TI untuk mempercepat pemasangan Patch Selasa hari ini. pembaruan keamanan.

Badan Keamanan Cybersecurity & Infrastruktur Departemen Keamanan Dalam Negeri (DHS CISA) hari ini juga akan merilis arahan darurat untuk memperingatkan sektor swasta AS dan entitas pemerintah tentang perlunya menginstal perbaikan OS Windows terbaru.

melalui ZDNet

Lebih lanjut tentang topik: keamanan, jendela 10

Surur Davids

Surur Davids Melindungi

Pakar Ponsel Cerdas

Surur Davids adalah pendiri WMPoweruser yang kemudian menjadi MSPoweruser.com. Dia adalah pakar ponsel pintar dengan pengalaman lebih dari satu dekade.