美情報(bào)機(jī)構(gòu)通報(bào)Windows 10重大漏洞 微軟發(fā)補(bǔ)丁修復(fù)
1月15日消息,據(jù)外媒報(bào)道,兩名美國聯(lián)邦高級(jí)網(wǎng)絡(luò)安全官員證實(shí),美國國家安全局(NSA)最近向微軟公司通報(bào)了一個(gè)Windows 10的重大安全漏洞,微軟最新版本的操作系統(tǒng)目前在企業(yè)內(nèi)部和消費(fèi)者中被廣泛使用。
據(jù)悉,最新發(fā)現(xiàn)的漏洞影響了用于驗(yàn)證內(nèi)容(包括軟件或文件)的數(shù)字簽名的加密。如果被利用,該漏洞可能會(huì)讓犯罪分子發(fā)送帶有虛假簽名的惡意內(nèi)容,使其看起來很安全。
網(wǎng)絡(luò)安全公司Tenable高級(jí)研究工程師薩特南·納朗(Satnam Narang)表示:“一般來說,像這樣的補(bǔ)丁應(yīng)該總是很重要的,但事實(shí)上,是NSA向微軟披露了這個(gè)漏洞,這讓它顯得更加重要。”
納朗還稱,攻擊者經(jīng)常會(huì)竊取安全證書,以便向受害者發(fā)送看似值得信任的惡意文件,但有了這個(gè)漏洞,攻擊者就可以簡(jiǎn)單地偽造微軟證書,使這一過程變得容易得多。
目前還不清楚NSA在向微軟通報(bào)之前,已經(jīng)發(fā)現(xiàn)該漏洞多長(zhǎng)時(shí)間。然而,NSA和微軟的這次合作與過去的互動(dòng)有所不同。過去,該機(jī)構(gòu)通常會(huì)將這類重要漏洞保密,以便將它們用作美國技術(shù)庫的一部分。
NSA的網(wǎng)絡(luò)安全部門主管安妮·紐伯格(Anne Neuberger)說:““這是方法上的改變,以此作為建立信任的一部分。NSA的工作是努力向前看,然后努力真正分享數(shù)據(jù),這是建立信任的一部分?!?/p>
網(wǎng)絡(luò)安全專業(yè)人士對(duì)此表示歡迎。計(jì)算機(jī)安全專家德米特里·阿爾佩羅維奇(Dmitri Alperovitch)在推文中說:“NSA自愿向微軟披露安全信息,這是非常值得稱贊的。我相信,這種漏洞是該機(jī)構(gòu)黑客以前最樂于利用的類型?!?/p>
微軟周二發(fā)布了修復(fù)該漏洞的補(bǔ)丁,該公司在聲明中拒絕證實(shí)或提供更多細(xì)節(jié)。聲明中稱:“我們遵循協(xié)調(diào)漏洞披露的原則,將其作為保護(hù)我們的客戶免受安全漏洞影響的行業(yè)最佳實(shí)踐。為了防止給客戶帶來不必要的風(fēng)險(xiǎn),安全研究人員和供應(yīng)商在更新可用之前不會(huì)討論報(bào)告中的漏洞細(xì)節(jié)?!?/p>
微軟高級(jí)主管杰夫·瓊斯(Jeff Jones)發(fā)表聲明說:“安全更新已于2020年1月14日發(fā)布,已經(jīng)應(yīng)用更新或啟用自動(dòng)更新的客戶已經(jīng)受到保護(hù)。我們一如既往地鼓勵(lì)客戶盡快安裝所有安全更新?!辈贿^微軟表示,該公司沒有看到任何利用該漏洞的跡象。
網(wǎng)絡(luò)安全公司Tenable的工程師納朗說:“我想強(qiáng)調(diào)的是,這個(gè)信息是在過去1個(gè)小時(shí)里剛剛發(fā)布,現(xiàn)在還相當(dāng)新鮮。從大局來看,這只是攻擊者工具箱里的另一個(gè)工具。”(騰訊科技審校/金鹿)