美國(guó)安全局曝光Win10超級(jí)漏洞？微軟：夸大了 已經(jīng)修復(fù)

日前有報(bào)道稱(chēng)美國(guó)國(guó)家安全局NSA向微軟報(bào)告了一個(gè)漏洞，編號(hào)CVE-2020-0601，影響Windows 10所有版本，這還是NSA首次向微軟報(bào)告漏洞而不是將漏洞武器化。

對(duì)于這個(gè)漏洞的危害，部分媒體報(bào)道稱(chēng)這是非常嚴(yán)重的漏洞，或者說(shuō)是超級(jí)漏洞，但是微軟內(nèi)部人士表示這是媒體的夸大而已，指責(zé)部分媒體不負(fù)責(zé)任、選擇性報(bào)道、惡意揣測(cè)的內(nèi)容，這個(gè)漏洞并沒(méi)有報(bào)道中的那么嚴(yán)重。

根據(jù)微軟的介紹，CVE-2020-0601漏洞位于Windows CryptoAPI(Crypt32.dll)驗(yàn)證橢圓曲線(xiàn)加密算法證書(shū)的方式，可能影響信任的一些實(shí)例包括（不限于）：HTTPS連接、文件簽名和電子郵件簽名、以用戶(hù)模式啟動(dòng)的簽名可執(zhí)行程序。

此外，該漏洞可以讓攻擊者偽造代碼簽名證書(shū)對(duì)惡意可執(zhí)行文件進(jìn)行簽名，使文件看似來(lái)自可信的來(lái)源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書(shū)，從而促使用戶(hù)安裝。中間人攻擊并解密用戶(hù)連接到受影響軟件的機(jī)密信息也是主要的攻擊場(chǎng)景之一。

CVE-2020-0601漏洞會(huì)影響Windows 10、Windows Server 2016/2019以及依賴(lài)于Windows CryptoAPI的應(yīng)用程序，但Windows 7、Windows Server 2008 R2不受影響。

目前這個(gè)漏洞已經(jīng)修復(fù)了，升級(jí)系統(tǒng)即可，暫時(shí)還沒(méi)有發(fā)現(xiàn)利用這個(gè)漏洞的攻擊方式。

PS：如果這個(gè)漏洞真的如部分媒體說(shuō)的那么重要，NSA大概率是不會(huì)公開(kāi)的，更別說(shuō)報(bào)告給微軟修復(fù)。