美國安全局曝光Win10超級(jí)漏洞 微軟：夸大其詞 已修復(fù)

近日有報(bào)道稱美國國家安全局NSA向微軟報(bào)告了一個(gè)漏洞，編號(hào)CVE-2020-0601，影響Windows 10所有版本，這還是NSA首次向微軟報(bào)告漏洞而不是將漏洞武器化。

對(duì)于這個(gè)漏洞的危害，有媒體報(bào)道稱這是非常嚴(yán)重的漏洞，或者說是超級(jí)漏洞，但微軟內(nèi)部人士表示這是媒體的夸大而已，指責(zé)部分媒體不負(fù)責(zé)任、選擇性報(bào)道、惡意揣測(cè)的內(nèi)容，這個(gè)漏洞并沒有報(bào)道中的那么嚴(yán)重。

根據(jù)微軟的介紹，CVE-2020-0601漏洞位于Windows CryptoAPI(Crypt32.dll)驗(yàn)證橢圓曲線加密算法證書的方式，可能影響信任的一些實(shí)例包括(不限于)：HTTPS連接、文件簽名和電子郵件簽名、以用戶模式啟動(dòng)的簽名可執(zhí)行程序。

此外，該漏洞可以讓攻擊者偽造代碼簽名證書對(duì)惡意可執(zhí)行文件進(jìn)行簽名，使文件看似來自可信的來源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書，從而促使用戶安裝。中間人攻擊并解密用戶連接到受影響軟件的機(jī)密信息也是主要的攻擊場(chǎng)景之一。

CVE-2020-0601漏洞會(huì)影響Windows 10、Windows Server 2016/2019以及依賴于Windows CryptoAPI的應(yīng)用程序，但Windows 7、Windows Server 2008 R2不受影響。

目前這個(gè)漏洞已經(jīng)修復(fù)了，升級(jí)系統(tǒng)即可，暫時(shí)還沒有發(fā)現(xiàn)利用這個(gè)漏洞的攻擊方式。

PS：如果這個(gè)漏洞真的如部分媒體說的那么重要，NSA大概率是不會(huì)公開的，更別說報(bào)告給微軟修復(fù)。