İşte NSA'nın keşfettiği kritik Windows güvenlik açığının ayrıntıları

Ana Sayfa » Microsoft

Okuma zamanı simgesi 2 dk. okuman

Takvim simgesi Yayınlandı

by Surur Davutları 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Dün rapor etmiştik Windows'ta büyük güvenlik açığı bu, işletim sisteminin kriptografik temelini baltaladı.

Bugün Microsoft, güvenlik açığı için bir yama ve ayrıca sorunla ilgili ayrıntılar yayınladı.

NSA Siber Güvenlik Direktörü Anne Neuberger tarafından onaylandığı üzere, "geniş kriptografik güvenlik açığı" ABD Ulusal Güvenlik Ajansı (NSA) tarafından keşfedildi.

Microsoft onayladı CVE-2020-0601 Windows CryptoAPI'yi içerir ve "Windows CryptoAPI'nin (Crypt32.dll) Eliptik Eğri Şifreleme (ECC) sertifikalarını doğrulama biçiminde bir kimlik sahtekarlığı güvenlik açığı var" ve "kötü amaçlı bir yürütülebilir dosyayı imzalamak ve dosyanın güvenilir bir dosyadan geldiğini göstermek için kullanılabilir" diyor. , meşru kaynak.”

Microsoft'un söylediği gibi, HTTPS gibi şifreli iletişimde de kullanılacaktır:

"Başarılı bir açıklardan yararlanma, saldırganın ortadaki adam saldırıları gerçekleştirmesine ve etkilenen yazılımla kullanıcı bağlantılarındaki gizli bilgilerin şifresini çözmesine de olanak verebilir."

Neyse ki, güvenlik açığı yalnızca Windows 10, Windows Server 2019 ve Windows Server 2016 işletim sistemi sürümlerini etkiler ve vahşi ortamda istismar edilmemiştir.

Buna rağmen, güvenlik açığının potansiyel etkisi o kadar kötüydü ki, NSA bunu kendi amaçları için kullanmak yerine Microsoft'a açıklamak zorunda kaldı.

Bu, Microsoft'un NSA'ya verdiği ilk ifşadır, ancak Neuberger, ajansın artık onları istiflemek istememesiyle, güvenlik açıklarına karşı tutumlarında bir değişiklik olduğunu söylüyor. NSA ayrıca altyapı şirketlerini güvenlik açığı ve yamanın geleceği konusunda uyarmıştı ve azaltma bilgileri ve istismarın nasıl tespit edileceğini içeren kendi güvenlik danışmanlığını bugün yayınlamayı planlarken, BT personelini bugünün Salı Yamasının kurulumunu hızlandırmaya çağırdı. güvenlik güncellemeleri.

İç Güvenlik Bakanlığı'nın Siber Güvenlik ve Altyapı Güvenlik Ajansı (DHS CISA) de bugün ABD özel sektörünü ve devlet kurumlarını en son Windows işletim sistemi düzeltmelerini yükleme ihtiyacı konusunda uyarmak için bir acil durum yönergesi yayınlayacak.

Üzerinden ZDNet

Konular hakkında daha fazla bilgi: güvenlik, , Windows 10

Surur Davutları

Surur Davutları Kalkan

Akıllı Telefon Uzmanı

Surur Davids, daha sonra MSPoweruser.com adını alan WMPoweruser'ın kurucusudur. On yıldan fazla deneyime sahip bir akıllı telefon uzmanıdır.