美国国家安全局(National Security Agency,NSA)日前公布了一个 Windows 10 的漏洞,该漏洞使 9 亿多台 PC 易受到攻击。
在 NSA 发现并披露了该漏洞后,微软于近日发布了 Windows 10 和 Server 2016 的补丁程序。Windows 10 是目前世界上使用最广泛的操作系统,已安装在超过 9 亿台 PC 上。
此漏洞出在 Windows 的一个机制中,它用于确认软件的合法性或建立安全的 Web 连接,如果验证检查本身不可信,则攻击者可以进行远程分发恶意软件或拦截敏感数据。
具体来讲,该漏洞存在于微软的 CryptoAPI 服务中,这一服务可帮助开发人员以加密方式对软件和数据进行“签名”或生成用于身份验证的数字证书,以证明 Windows 在用户设备上对其进行检查时的可信度和有效性。攻击者可能利用该漏洞破坏关键保护,并最终控制受害设备。
“我们建议网络所有者尽快采取补丁措施,我们也会这样做”,NSA 网络安全局局长 Anne Neuberger 对记者表示: “当我们发现像这样的广泛的加密漏洞时,我们迅速转向与该公司合作,以确保他们可以缓解它。”
目前未见到具体对该漏洞的深入分析,但是以 NSA 的对待态度来看,这一问题应当十分严峻,甚至可以回想起当年的 WannaCry 与永恒之蓝,当时 NSA 早已知晓相关安全漏洞存在,但没有对外披露,还基于该漏洞使用永恒之蓝这样的网络武器用于渗透和间谍活动,最终爆发的 WannaCry 病毒席卷了全球。事后 NSA 遭到外界的批评。
实际上,Anne 对记者表示,向微软和公众公开此次的严重漏洞正是 NSA 新计划的一部分,该计划将使 NSA 更快、更频繁地分享其漏洞发现结果:“外界很难相信我们确实认真对待这一点,并且确保减轻漏洞是绝对优先事项。”