2020 წლის პირველი პატჩი სამშაბათს კუთხის მახლობლად დგას და, როგორც ჩანს, Microsoft კარგად არ იწყებს წელს.
მას შემდეგ, რაც ძალიან მშვიდი 2019 წლის დეკემბერი პატჩი სამშაბათი მცირე და მცირედი ცვლილებებით, ახალი განახლება შეიქმნება უსაფრთხოების ძალიან მნიშვნელოვან დაუცველობაზე, რომელიც დაკავშირებულია ძირითად კრიპტოგრაფიულ კომპონენტთან, რომელიც ნაპოვნია Windows- ის ყველა ვერსიაში.
Microsoft– მა უსაფრთხოების პატჩი გამოუშვა პატჩ სამშაბათამდე
კომპონენტს ეწოდება Crypt32.dll და პასუხისმგებელია CryptoAPI– ში სერთიფიკატებისა და კრიპტოგრაფიული შეტყობინებების უმეტეს ფუნქციების განხორციელებაზე:
Crypt32.dll არის მოდული, რომელსაც გააჩნია Windows და Windows Server ოპერაციული სისტემები, მაგრამ ამ DLL- ის სხვადასხვა ვერსიები სხვადასხვა შესაძლებლობებს იძლევა.
მართალია ეს შეიძლება ოდნავ ჟღერდეს ტექნიკური თვალსაზრისით, მაგრამ ყველაზე მთავარი, რაც თქვენ უნდა იცოდეთ, არის ის, რომ CryptoAPI ეხმარება დეველოპერებს კრიპტოგრაფიის საშუალებით Windows უსაფრთხოების პროგრამებში მეტი უსაფრთხოება დაამატონ. დაშიფვრა ხოლო მონაცემთა გაშიფვრა ხდება ციფრული სერთიფიკატების გამოყენებით.
უსაფრთხოების ამ დარღვევის კიდევ უფრო დასადასტურებლად, როგორც ჩანს, დიდმა M– მ გამოუშვა პატჩი, რომ გამოსწორებულიყო 14 იანვრის პატჩის სამშაბათამდე. იგი გადაეგზავნა მნიშვნელოვან მომხმარებლებს, კომპანიებს, რომლებიც ინტერნეტ – ინფრასტრუქტურასთან მუშაობენ და აშშ – ს სამხედრო ფილიალებს.
რა თქმა უნდა, მაიკროსოფტი დარწმუნდა, რომ არცერთ მათგანს არ შეუძლია გაამჟღავნოს საკითხი 14 იანვრამდე, დაუდგენლობის შესახებ ხელშეკრულებებით. Როგორც პასუხი KrebsonSecurity– სთვის კომპანიამ განაცხადა:
ჩვენი გზით უსაფრთხოების განახლების დამტკიცების პროგრამა (SUVP), ჩვენ გამოაქვეყნებთ ჩვენი განახლებების წინასწარ ვერსიებს ლაბორატორიულ გარემოში ვალიდაციისა და ურთიერთქმედების ტესტირების მიზნით. ამ პროგრამის მონაწილეებს ხელშეკრულებით ეკრძალებათ ნებისმიერი სისტემის გამოყენება ამ მიზნის მიღმა და შეიძლება არ გამოიყენონ იგი წარმოების ინფრასტრუქტურაზე.
შედეგები და უსაფრთხოების რისკები დიდია, იმის გათვალისწინებით, რომ აშშ-ს სამხედრო და სხვა მაღალი პრიორიტეტული სამიზნეები პირველი იყო Microsoft- ის სიაში.
შეიძლება ამ დაუცველობამ გავლენა მოახდინოს ჩემს Windows PC- ზე?
გარკვეულწილად დაუცველი დაუცველობა, უილ დორმანი, CERT / CC– ის მოწყვლადობის ანალიტიკოსი იზიარებს ძალიან საინტერესოს ტვიტი:
ისეთი შთაბეჭდილება მრჩება, რომ ხალხმა შესაძლოა ძალიან დიდი ყურადღება უნდა მიაქციოს ხვალინდელი Microsoft Patch სამშაბათის განახლებების დროულად დაყენებას. კიდევ უფრო მეტი ვიდრე სხვები.
მე არ ვიცი... უბრალოდ ამას უწოდებენ?
¯_(ツ)_/¯- უილ დორმანი (@wdormann) 2020 წლის 13 იანვარი
თუ გაინტერესებთ პირველი გავლენის შესახებ, იცოდეთ, რომ უსაფრთხოების ხარვეზმა შეიძლება გავლენა მოახდინოს Windows– ის ძირითად ფუნქციებზე, პერსონალურ მონაცემებზე Internet Explorer/ Edge, ავტორიზაციის და შესვლის უსაფრთხოება და მესამე მხარის სხვა აპები.
ეს ძალიან შემაშფოთებელია, რადგან ამან შეიძლება გამოიწვიოს მავნე პროგრამების შეტევები და პირადი მონაცემების დაკარგვა.
შეგახსენებთ, რომ მოქმედებს ვინდოუსის ყველა ვერსია, მათ შორის Windows XP და Windows Vista ან 7. ასე რომ, მოემზადეთ ძალიან უხეშ პაჩ სამშაბათს და თვალი ადევნეთ WindowsReport– ის 14 იანვრის პატჩი სამშაბათს სტატიებს, რომ გაეცნოთ რაიმე ახალ განვითარებას.
