Microsoft выкатила патч к уязвимости, компрометирующей инфраструктуру открытых ключей Windows
Microsoft сегодня выкатила обновление, которое закрывает несколько уязвимостей. Одна из них настолько серьёзна, что даже NSA выпустила публичное заявление:
Список подверженных этой уязвимости версий ОС Windows:
В понедельник стало известно, что Microsoft собирается в кратчайшие сроки выпустить патч для фикса очень серьёзной уязвимости в интерфейсе CryptoAPI (Crypt32.dll) криптодрайвера Windows. Также во вторник появилась информация, что Microsoft заранее выкатила этот патч для критической инфраструктуры и органов власти.
Уязвимость получила название CVE-2020-0601, она даёт дополнительные возможности по проведению MITM атак на ваш компьютер и усложняет процедуру проверки обновлений: ошибка заключается в некорректной проверке ECC-сертификата (Eliptic Curve Cryptography) интерфейсом CryptoAPI и в результате позволяет злоумышленнику создать X.509 сертификат, который будет приниматься системой за доверенный. Это, в том числе, позволяет производить перехват и модификацию TLS трафика, подписывать исполняемые файлы доверенным сертификатом. Также это первый случай, когда NSA публично заявило о том, что обнаружило уязвимость в ПО.