编者按:本文来自腾讯科技,36氪经授权发布。
微软公司首席执行官萨蒂亚·纳德拉
1月15日音讯,据外媒报导,两名美国联邦高档网络安全官员证明,美国国家安全局(NSA)最近向微软公司通报了一个Windows 10的严重安全缝隙,微软最新版别的操作系统现在在企业内部和顾客中被广泛运用。
据悉,最新发现的缝隙影响了用于验证内容(包含软件或文件)的数字签名的加密。假如被使用,该缝隙可能会让犯罪分子发送带有虚伪签名的歹意内容,使其看起来很安全。
网络安全公司Tenable高档研讨工程师萨特南·纳朗(Satnam Narang)表明:“一般来说,像这样的补丁应该总是很重要的,但事实上,是NSA向微软发表了这个缝隙,这让它显得愈加重要。”
纳朗还称,攻击者经常会盗取安全证书,以便向受害者发送看似值得信赖的歹意文件,但有了这个缝隙,攻击者就可以简略地假造微软证书,使这一进程变得简单得多。
现在还不清楚NSA在向微软通报之前,现已发现该缝隙多长时间。但是,NSA和微软的这次协作与曩昔的互动有所不同。曩昔,该组织一般会将这类重要缝隙保密,以便将它们用作美国技能库的一部分。
NSA的网络安全部分主管安妮·纽伯格(Anne Neuberger)说:““这是办法上的改动,以此作为树立信赖的一部分。NSA的作业是尽力向前看,然后尽力真实共享数据,这是树立信赖的一部分。”
网络安全专业技能人员对此表明欢迎。计算机安全专家德米特里·阿尔佩罗维奇(Dmitri Alperovitch)在推文中说:“NSA自愿向微软发表安全信息,这是十分值得称赞的。我信任,这种缝隙是该组织黑客曾经最乐于使用的类型。”
微软周二发布了修正该缝隙的补丁,该公司在声明中回绝证明或供给更多细节。声明中称:“咱们遵从和谐缝隙发表的准则,将其作为维护咱们的客户免受安全缝隙影响的职业最佳实践。为防止给客户带来不必要的危险,安全研讨人员和供货商在更新可用之前不会评论陈述中的缝隙细节。”
微软高档主管杰夫·琼斯(Jeff Jones)发表声明说:“安全更新已于2020年1月14日发布,现已使用更新或启用自动更新的客户现已遭到维护。咱们自始自终地鼓舞客户赶快装置一切安全更新。”不过微软表明,该公司没有看到任何使用该缝隙的痕迹。
网络安全公司Tenable的工程师纳朗说:“我想着重的是,这个信息是在曩昔1个小时里刚刚发布,现在还适当新鲜。从全局来看,这仅仅攻击者东西箱里的另一个东西。”(腾讯科技审校/金鹿)