Pirmasis 2020 m. Pataisų antradienis yra iškart, ir atrodo, kad „Microsoft“ ne itin gerai pradeda metus.
Po labai tyliai 2019 m. Gruodžio mėn. Pleistras antradienis be jokių pakeitimų ir beveik be jų, naujasis naujinimas yra skirtas pašalinti labai svarbų saugos pažeidžiamumą, susietą su pagrindiniu kriptografiniu komponentu, esančiu visose „Windows“ versijose.
„Microsoft“ išleido saugos pataisą prieš pataisymą antradienį
Komponentas vadinamas Crypt32.dll ir yra atsakingas už daugelio „CryptoAPI“ pažymėjimų ir kriptografinių pranešimų funkcijų įgyvendinimą:
„Crypt32.dll“ yra modulis, pateikiamas kartu su „Windows“ ir „Windows Server“ operacinėmis sistemomis, tačiau skirtingos šio DLL versijos suteikia skirtingas galimybes.
Nors tai gali šiek tiek skambėti techniškai, svarbiausia, ką turėsite žinoti, kad „CryptoAPI“ padeda kūrėjams suteikti daugiau saugumo „Windows“ programoms per kriptografiją. The šifravimas ir duomenų iššifravimas atliekamas naudojant skaitmeninius sertifikatus.
Norint dar labiau patvirtinti šį saugumo pažeidimą, atrodo, kad didysis M tariamai išleido pleistrą, kuris jį pašalins iki sausio 14 dienos antradienio. Jis buvo išsiųstas svarbiems klientams, įmonėms, kurios dirba su interneto infrastruktūra, ir JAV kariuomenės padaliniams.
Žinoma, „Microsoft“ užtikrino, kad nei vienas iš jų negalėtų atskleisti problemos iki sausio 14 d., Neatskleisdamas susitarimų. Kaip atsakymą „KrebsonSecurity“ bendrovė nurodė:
Per mūsų Saugos naujinių tikrinimo programa (SUVP), mes išleidžiame išankstines savo naujinių versijas, kad galėtume patvirtinti ir suderinti sąveiką laboratorijų aplinkose. Dalyviams šioje programoje draudžiama taikyti pataisą bet kuriai sistemai, nepriklausančiai šiam tikslui, ir jie negali jos taikyti gamybos infrastruktūrai.
Poveikis ir saugumo rizika yra milžiniški, atsižvelgiant į tai, kad JAV kariuomenės ir kiti prioritetiniai taikiniai buvo pirmieji „Microsoft“ sąraše.
Ar šis pažeidžiamumas gali paveikti mano „Windows“ kompiuterį?
Šiek tiek patvirtindamas pažeidžiamumą Willas Dormannas, CERT / CC pažeidžiamumo analitikas pasidalijo labai įdomiu dalyku tviteris:
Man susidaro įspūdis, kad žmonės galbūt turėtų labai atidžiai stebėti rytojaus „Microsoft Patch Tuesday“ atnaujinimų įdiegimą laiku. Dar labiau nei kiti.
Aš nežinau... tiesiog vadink tai nuojauta?
¯_(ツ)_/¯- Willas Dormannas (@wdormann) 2020 m. Sausio 13 d
Jei jums kilo klausimų iš pirmų lūpų, žinokite, kad saugos trūkumas gali turėti įtakos pagrindinėms „Windows“ funkcijoms, asmens duomenims iš Internet Explorer/ „Edge“, autentifikavimo ir prisijungimo sauga bei kitos trečiųjų šalių programos.
Tai labai jaudina, nes tai gali sukelti kenkėjiškų programų atakos asmeninių duomenų praradimas.
Primename, kad tai paveikė visas „Windows“ versijas, įskaitant „Windows XP“ ir „Windows Vista“ arba „7“. Taigi pasiruoškite labai nepatogiam pataisų antradieniui ir stebėkite „WindowsReport“ sausio 14 dienos pataisų antradienio straipsnius, kad sužinotumėte apie naujus įvykius.
