Microsoft выкатила патч к уязвимости, компрометирующей инфраструктуру открытых ключей Windows

Microsoft сегодня выкатила обновление, которое закрывает несколько уязвимостей. Одна из них настолько серьёзна, что даже NSA выпустила публичное заявление:

Список подверженных этой уязвимости версий ОС Windows:

В понедельник стало известно, что Microsoft собирается в кратчайшие сроки выпустить патч для фикса очень серьёзной уязвимости в интерфейсе CryptoAPI (Crypt32.dll) криптодрайвера Windows. Также во вторник появилась информация, что Microsoft заранее выкатила этот патч для критической инфраструктуры и органов власти.

Уязвимость получила название CVE-2020-0601, она даёт дополнительные возможности по проведению MITM атак на ваш компьютер и усложняет процедуру проверки обновлений: ошибка заключается в некорректной проверке ECC-сертификата (Eliptic Curve Cryptography) интерфейсом CryptoAPI и в результате позволяет злоумышленнику создать X.509 сертификат, который будет приниматься системой за доверенный. Это, в том числе, позволяет производить перехват и модификацию TLS трафика, подписывать исполняемые файлы доверенным сертификатом. Также это первый случай, когда NSA публично заявило о том, что обнаружило уязвимость в ПО.

2626
59 комментариев

Сначала подумал что новость с аккета или мморпг, такая агрессия в заголовке!

21
Ответить

Комментарий недоступен

23
Ответить

2020-й год (как же я люблю это писать), а люди всё ещё падки на повелительные приказы. Психология, ваш лучший уничтожитель иллюзий о прогрессе. 

Ответить

Уязвимость, как мне показалось, довольно серьёзная. Но заголовок пофиксил, спасибо.

1
Ответить

И говорить об этом стали ровно через пару дней после закрытия поддержки у семерки. Ну-ну.

5
Ответить

какоооое совпадение ! невероятно !

1
Ответить

Хорошая попытка, Майкрософт. Но нет.

3
Ответить