美國國家安全局(National Security Agency,NSA)日前公布了一個 Windows 10 的漏洞,該漏洞使 9 億多台 PC 易受到攻擊。
在 NSA 發現並披露了該漏洞后,微軟於近日發布了 Windows 10 和 Server 2016 的補丁程序。Windows 10 是目前世界上使用最廣泛的操作系統,已安裝在超過 9 億台 PC 上。
此漏洞出在 Windows 的一個機制中,它用於確認軟體的合法性或建立安全的 Web 連接,如果驗證檢查本身不可信,則攻擊者可以進行遠程分發惡意軟體或攔截敏感數據。
具體來講,該漏洞存在於微軟的 CryptoAPI 服務中,這一服務可幫助開發人員以加密方式對軟體和數據進行「簽名」或生成用於身份驗證的數字證書,以證明 Windows 在用戶設備上對其進行檢查時的可信度和有效性。攻擊者可能利用該漏洞破壞關鍵保護,並最終控制受害設備。
「我們建議網路所有者儘快採取補丁措施,我們也會這樣做」,NSA 網路安全局局長 Anne Neuberger 對記者表示: 「當我們發現像這樣的廣泛的加密漏洞時,我們迅速轉向與該公司合作,以確保他們可以緩解它。」
目前未見到具體對該漏洞的深入分析,但是以 NSA 的對待態度來看,這一問題應當十分嚴峻,甚至可以回想起當年的 WannaCry 與永恆之藍,當時 NSA 早已知曉相關安全漏洞存在,但沒有對外披露,還基於該漏洞使用永恆之藍這樣的網路武器用於滲透和間諜活動,最終爆發的 WannaCry 病毒席捲了全球。事後 NSA 遭到外界的批評。
實際上,Anne 對記者表示,向微軟和公眾公開此次的嚴重漏洞正是 NSA 新計劃的一部分,該計劃將使 NSA 更快、更頻繁地分享其漏洞發現結果:「外界很難相信我們確實認真對待這一點,並且確保減輕漏洞是絕對優先事項。」
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/112835/nsa-windows-10-vulnerability-disclosure
NSA 公布 Windows 10 嚴重漏洞,影響 9 億多台設備已經有88次圍觀
