不尋常的 1 月更新:NSA 首次向微軟報告 Windows 的嚴重安全漏洞

安华金和發表於2020-01-16

本月的補丁星期二註定是不平凡的,不僅是因為 2020 年首個累積更新活動,而是修復了存在於 Windows 系統中的嚴重安全漏洞,更為重要的是美國國家安全域性(NSA)首次向微軟發出警告,稱在 Windows 系統中發現安全漏洞。這也是在 NSA 歷史上首次向微軟發出此類報告。

在以往的概念中,NSA 往往會利用 Windows 系統中的漏洞來達到各種目的,絕對不會讓微軟知道哪些漏洞是有效的。不過在 2020 年的第 1 個月裡,NSA 似乎自願報告了這個漏洞。這無疑是一件好事,新漏洞的程式碼名為 CVE-2020-0601,簡稱為“NSACrypt”。

報導中稱存在於 Windows 元件 crypt32.dll 中的安全漏洞非常嚴重,以至於 Microsoft 提前向政府安全服務釋出了補丁。KrebsonSecurity 表示:“多方訊息源確認,微軟公司定於本週二釋出軟體更新,以修復所有 Windows 版本中核心加密元件中的嚴重漏洞。目前相關補丁已經提前發給了美軍分支機構、以及管理關鍵網際網路基礎設施的其他高價值客戶/目標,而且這些組織被要求籤署協議以阻止他們透露漏洞的細節。”

這個問題影響到 NSA 的 Windows 10 作業系統,在企業內部和消費者當中普遍存在。這個漏洞影響到用於驗證軟體或檔案等內容的數字簽名的加密技術。如果被犯罪分子利用,則這個漏洞能讓其傳送帶有虛假簽名的惡意內容,並使其看起來很安全。

不尋常的 1 月更新:NSA 首次向微軟報告 Windows 的嚴重安全漏洞

目前還不清楚在提醒微軟注意上述漏洞之前,美國國家安全域性知道這個漏洞已有多久,但此次合作與該局和微軟等主要軟體開發商過去的互動有所不同。以往,美國國家安全域性總會對一些主要漏洞做保密處理,以便將其用作美國技術庫的一部分。

微軟為此發表了一份宣告,但拒絕證實或提供更多細節。宣告稱:“我們遵循協調披露漏洞的原則,將其作為保護客戶免受安全漏洞影響的行業最佳實踐。為了防止給客戶帶來不必要的風險,安全研究人員和供應商在更新可用之前不會討論漏洞細節。”

微軟高階主管傑夫·瓊斯(Jeff Jones)週二發表宣告稱:“已經進行了更新或啟用了自動更新功能的客戶現已受到保護。一如既往,我們鼓勵客戶儘快安裝所有安全更新。”微軟還表示,該公司並未看到任何“在野外”環境中利用這個漏洞的行為,也就是並無在實驗室測試環境之外的攻擊行為。

來源:cnBeta.COM

更多資訊

谷歌將逐步淘汰 Chrome 中的使用者代理字串

作為“隱私沙箱”專案的一部分,谷歌先是宣佈要淘汰 Chrome 對第三方 cookie 的支援,後又表示將逐步淘汰 Chrome 中的使用者代理(User-Agent)字串。作為現代 Web 瀏覽器功能的重要組成部分,UA 字串特指瀏覽器在啟動連線時,傳送給網站的一段文字。其中包含了有關瀏覽器型別、渲染引擎、作業系統等詳細資訊。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html

Verizon 推隱私搜尋引擎 OneSearch:基於微軟 Bing 定製

據外媒報導,Verizon Media(前 Yahoo/Oath)今日宣佈了一款面向消費者使用者推出的隱私搜尋引擎 OneSearch。這裡要說明的是,OneSearch 實際上並不是一款全新的搜尋引擎,相反,它是一個基於微軟 Bing 定製的搜尋引擎。 這款引擎的主要亮點是它不會對使用者進行追蹤、儲存他們的資料或跟廣告商分享使用者個人或搜尋資料。換言之,使用者的個人資訊基本不會被出售給第三方。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html 

網友曬微軟 Windows 7 支援結束通知:三個“沒有”

1 月 14 日,微軟正式停止了對 Windows 7 系統的支援。從此之後,你的電腦還可以繼續執行 Windows 7,但後果是沒有持續軟體和安全更新,電腦遭受病毒和惡意軟體攻擊的風險會更大,今日,有網友收到了微軟發動的結束支援通知,微軟用了三個“沒有”,並強烈建議在新電腦使用 Windows 10。

來源:快科技
詳情連結: https://www.dbsec.cn/blog/news.html 

外媒評俄羅斯攻擊 Burisma 一事:證據不完全可靠

據外媒報導,2016 年美國民主黨全國委員會災難性的黑客攻擊給所有擔心國際混亂競選的人敲響了警鐘。當地時間週一晚,美國人又有了一個擔心 2020 年大選的新理由。《紐約時報》和網路安全公司Area1報導了俄羅斯情報機構針對烏克蘭天然氣公司 Burisma 發起的新一輪黑客攻擊。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html 

(資訊來源於網路,安華金和蒐集整理)

不尋常的 1 月更新:NSA 首次向微軟報告 Windows 的嚴重安全漏洞

訂閱“Linux 中國”官方小程式來檢視

相關文章