美国国安局通知微软Win 10漏洞:微软称其已打补丁
source link: https://tech.sina.com.cn/it/2020-01-15/doc-iihnzahk4163822.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
新浪科技讯 北京时间1月15日早间消息,美国的两名联邦高级网络安全官员透露,美国国家安全局(NSA)最近几周提醒 微软 注意一个重大问题,这个问题影响到该公司的Windows 10操作系统,在企业内部和消费者当中普遍存在。
这个漏洞影响到用于验证软件或文件等内容的数字签名的加密技术。如果被犯罪分子利用,则这个漏洞能让其发送带有虚假签名的恶意内容,并使其看起来很安全。
“一般来说,像这样打补丁总是很重要的,但这个漏洞是美国国家安全局向微软披露的,这个事实使其变得更加重要。”网络安全公司Tenable高级研究工程师萨特南·纳朗(Satnam Narang)表示。他指出,黑客经常都会窃取安全证书,来向受害者发送看似值得信任的恶意文件;但这个漏洞意味着黑客可以很简单地伪造微软证书,从而让这一过程变得容易得多。
目前还不清楚在提醒微软注意上述漏洞之前,美国国家安全局知道这个漏洞已有多久,但此次合作与该局和微软等主要软件开发商过去的互动有所不同。以往,美国国家安全局总会对一些主要漏洞做保密处理,以便将其用作美国技术库的一部分。
微软为此发表了一份声明,但拒绝证实或提供更多细节。声明称:“我们遵循协调披露漏洞的原则,将其作为保护客户免受安全漏洞影响的行业最佳实践。为了防止给客户带来不必要的风险,安全研究人员和供应商在更新可用之前不会讨论漏洞细节。”
微软高级主管杰夫·琼斯(Jeff Jones)周二发表声明称:“已经进行了更新或启用了自动更新功能的客户现已受到保护。一如既往,我们鼓励客户尽快安装所有安全更新。”微软还表示,该公司并未看到任何“在野外”环境中利用这个漏洞的行为,也就是并无在实验室测试环境之外的攻击行为。(唐风)
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK