高清无码男男同同性,久久久久日韩AV无码一区,自拍 另类 综合 欧美小说,尤物网址在线观看

0371-63319761
您的當前位置:主頁 > 安全研究 > 行業(yè)新聞 >

所有Windows都中招!微軟爆出超級漏洞

時間:2020-01-15


本周三,所有運行 Windows 的企業(yè)和個人都必須密切關(guān)注并更新一個Windows補丁。


據(jù)著名安全博客 KrebsOnSecurity 爆料,微軟計劃于周三(美國當?shù)貢r間周二)發(fā)布重要軟件更新,修復一個:所有版本 Windows 中都存在的核心加密組件中的一個極為嚴重的安全漏洞。

NSA 發(fā)現(xiàn)史上最可怕的微軟產(chǎn)品漏洞,美軍方優(yōu)先獲得補丁

據(jù) Krebs 的 Twitter 消息,美國國家安全局 NSA 首先發(fā)現(xiàn)這個漏洞并呈報給微軟。

另據(jù)消息人士說,在周二補丁日之前,微軟已經(jīng)悄悄地將這個漏洞的補丁發(fā)送給了美國國防部 (DoD) 美軍分支機構(gòu)以及管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的其他高價值客戶/目標,并且這些組織已經(jīng)被要求簽署保密協(xié)議,以阻止他們透露漏洞的細節(jié)。

根據(jù)消息來源,這個漏洞位于名為 crypt32.dll 的 Windows 組件中,用于處理 “CryptoAPI 中的證書和加密消息傳遞功能。”

Microsoft CryptoAPI 是微軟提供給開發(fā)人員的 Windows 安全服務(wù)應用程序接口,可用于加密的應用程序,實現(xiàn)數(shù)據(jù)加密、解密、簽名及驗證等功能。

由于復雜的加密算法實現(xiàn)起來非常困難,所以在過去,許多應用程序只能使用非常簡單的加密技術(shù),這樣做的結(jié)果就是加密的數(shù)據(jù)很容易就可以被人破譯。而使用Microsoft提供的加密應用程序接口(即Cryptography API),或稱 CryptoAPI,就可以方便地在應用程序中加入強大的加密功能,而不必考慮基本的算法。

影響所有Windows產(chǎn)品和用戶的“超級漏洞”

Windows 組件中的這個嚴重漏洞 (CVE-2020-0601) 可能會對許多重要的 Windows 功能產(chǎn)生廣泛的安全影響,包括在 Windows 臺式機和服務(wù)器上進行身份驗證,保護由 Microsoft 的瀏覽器 (Internet Explorer / Edge) 瀏覽器處理的敏感數(shù)據(jù),以及許多第三方應用程序和工具。

同樣令人擔憂的是,攻擊者還可能濫用 crypt32.dll 中的漏洞來欺騙與特定軟件相關(guān)的數(shù)字簽名。

攻擊者可以利用這個漏洞,使惡意軟件看起來像是由合法軟件公司生產(chǎn)并簽名的良性程序。

存在漏洞的組件是 20 多年前就引入 Windows,從 Windows10、Windows Server2016 一直可以追溯到爺爺輩的 Windows NT 4.0 中。因此,可以說所有版本的 Windows 都可能受到影響(包括 Windows XP,Microsoft 的補丁程序不再支持 Windows XP)。

一位提前獲知消息的 CERT/CC 的一位漏洞分析師 Will Dormann 發(fā)推說:我有預感大家明天要拿出十二萬分的熱情來更新補丁。

而一位基礎(chǔ)設(shè)施安全專家則吐槽說已經(jīng)連續(xù)收到多個聯(lián)邦機構(gòu)的“七道金牌”,明天務(wù)必一定必須“全部更新”補丁,但這對低帶寬的邊緣網(wǎng)絡(luò)來說是個巨大的挑戰(zhàn)。

動搖了整個網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的信心基礎(chǔ)

美國東部時間周一下午,Microsoft 做出回應:表示在漏洞補丁更新可用之前,它不會討論該漏洞的詳細信息。

微軟在一份書面聲明中說:微軟不會在常規(guī)更新時間表(星期二)之前發(fā)布可用于生產(chǎn)的更新。通過我們的安全更新驗證程序 (SUVP),我們發(fā)布了更新的升級版本,目的是在實驗室環(huán)境中進行驗證和互操作性測試。根據(jù)合同,不允許該程序的參與者將修復程序應用于此目的之外的任何系統(tǒng),并且不得將其應用于生產(chǎn)基礎(chǔ)結(jié)構(gòu)。

爆料的安全博客 KrebsOnSecurity 周二收到了美國國家安全局 (NSA) 的警告,稱 NSA 計劃本周三(1月14日)召開電話會議,向新聞媒體 “提供有關(guān)當前 NSA 網(wǎng)絡(luò)安全問題的高級通知。”

美國國家安全局網(wǎng)絡(luò)空間安全總監(jiān) Anne Neuberger 指出,微軟核心加密組件的漏洞,動搖了整個網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的信心基礎(chǔ)。(來源:安全牛)

本文發(fā)布前更新

Google 漏洞研究員 Tavis Ormandy 今晨發(fā)推確認微軟漏洞不僅僅威脅代碼簽名,而且導致所有 X.509 證書驗證失效,攻擊者可以截獲并修改 TLS 加密通訊。

NSA 發(fā)布的漏洞修復建議(比微軟和 CERT/CC 的公告更詳盡):
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

本文參考來源:https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

Copyright © 2017-2024 河南中瀚安全技術(shù)有限公司 版權(quán)所有 豫ICP備18011434號-1 豫公網(wǎng)安備 41019702002746號