Pirmā 2020. gada plākstera otrdiena ir tieši ap stūri, un šķiet, ka Microsoft gadu neuzsāk ļoti labi.
Pēc ļoti klusa 2019. gada decembris Plākstera otrdiena ar nelielām izmaiņām vai bez izmaiņām, jaunais atjauninājums ir paredzēts, lai novērstu ļoti svarīgu drošības ievainojamību, kas saistīta ar kriptogrāfijas galveno komponentu, kas atrodams visās Windows versijās.
Microsoft izlaida drošības plāksteri pirms ielāpu otrdienas
Komponentu sauc Crypt32.dll un ir atbildīgs par lielākās daļas sertifikātu un kriptogrāfisko ziņojumapmaiņas funkciju ieviešanu CryptoAPI:
Crypt32.dll ir modulis, kas tiek piegādāts kopā ar Windows un Windows Server operētājsistēmām, taču dažādas šī DLL versijas nodrošina dažādas iespējas.
Lai arī tas tehniski var likties mazliet, vissvarīgākais, kas jums jāzina, ir tas, ka CryptoAPI palīdz izstrādātājiem pievienot lielāku drošību Windows lietotnēm, izmantojot kriptogrāfiju. The šifrēšana un datu atšifrēšana tiek veikta, izmantojot digitālos sertifikātus.
Lai vēl vairāk apstiprinātu šo drošības pārkāpumu, šķiet, ka lielais M, domājams, izlaida plāksteri, lai to novērstu pirms 14. janvāra ielāpu otrdienas. Tas tika nosūtīts nozīmīgiem klientiem, uzņēmumiem, kas strādā ar interneta infrastruktūru, un ASV armijas filiālēm.
Protams, Microsoft pārliecinājās, ka neviens no viņiem nevar atklāt problēmu līdz 14. janvārim, izmantojot neizpaušanas līgumus. Kā atbildi KrebsonSecurity uzņēmumam paziņoja:
Caur mūsu Drošības atjaunināšanas validācijas programma (SUVP), mēs izlaižam mūsu atjauninājumu iepriekšējās versijas, lai veiktu validāciju un savietojamības testēšanu laboratorijas vidēs. Šīs programmas dalībniekiem ir aizliegts labojumu piemērot jebkurai sistēmai, kas nav šī mērķa daļa, un viņi to nevar izmantot ražošanas infrastruktūrai.
Ietekme, kā arī drošības riski ir milzīgi, ņemot vērā faktu, ka ASV militārie un citi augstas prioritātes mērķi bija pirmie Microsoft sarakstā.
Vai šī ievainojamība var ietekmēt manu Windows datoru?
Nedaudz apstiprinot ievainojamību, Will Dormann, Neaizsargātības analītiķis CERT / CC dalījās ļoti interesanti čivināt:
Man rodas iespaids, ka cilvēkiem, iespējams, būtu jāpievērš ļoti liela uzmanība rītdienas Microsoft Patch otrdienas atjauninājumu savlaicīgai instalēšanai. Pat vairāk nekā citi.
Es nezinu... to vienkārši nosaukt par nojautu?
¯_(ツ)_/¯- Will Dormann (@wdormann) 2020. gada 13. janvāris
Ja jūs domājat par tiešām sekām, ziniet, ka drošības kļūda var ietekmēt Windows pamatfunkcijas un personas datus no Internet Explorer/ Edge, autentifikācijas un pieteikšanās drošība, kā arī citas trešo pušu lietotnes.
Tas ir ļoti satraucoši, jo tas var novest pie ļaunprātīgas programmatūras uzbrukumi privāto datu zaudēšana.
Atgādinām, ka tiek ietekmētas visas Windows versijas, ieskaitot Windows XP un Windows Vista vai 7. Tāpēc sagatavojieties ļoti nelīdzenai Patch otrdienai un sekojiet WindowsReport 14. janvāra Patch otrdienas rakstiem, lai uzzinātu par jebkuru jaunu attīstību.
