美國的兩名聯(lián)邦高級(jí)網(wǎng)絡(luò)安全官員透露,美國國家安全局(NSA)最近幾周提醒微軟注意一個(gè)重大問題,這個(gè)問題影響到該公司的Windows 10操作系統(tǒng),在企業(yè)內(nèi)部和消費(fèi)者當(dāng)中普遍存在。
這個(gè)漏洞影響到用于驗(yàn)證軟件或文件等內(nèi)容的數(shù)字簽名的加密技術(shù)。如果被犯罪分子利用,則這個(gè)漏洞能讓其發(fā)送帶有虛假簽名的惡意內(nèi)容,并使其看起來很安全。
“一般來說,像這樣打補(bǔ)丁總是很重要的,但這個(gè)漏洞是美國國家安全局向微軟披露的,這個(gè)事實(shí)使其變得更加重要。”網(wǎng)絡(luò)安全公司Tenable高級(jí)研究工程師薩特南·納朗(Satnam Narang)表示。他指出,黑客經(jīng)常都會(huì)竊取安全證書,來向受害者發(fā)送看似值得信任的惡意文件;但這個(gè)漏洞意味著黑客可以很簡單地偽造微軟證書,從而讓這一過程變得容易得多。
目前還不清楚在提醒微軟注意上述漏洞之前,美國國家安全局知道這個(gè)漏洞已有多久,但此次合作與該局和微軟等主要軟件開發(fā)商過去的互動(dòng)有所不同。以往,美國國家安全局總會(huì)對一些主要漏洞做保密處理,以便將其用作美國技術(shù)庫的一部分。
微軟為此發(fā)表了一份聲明,但拒絕證實(shí)或提供更多細(xì)節(jié)。聲明稱:“我們遵循協(xié)調(diào)披露漏洞的原則,將其作為保護(hù)客戶免受安全漏洞影響的行業(yè)最佳實(shí)踐。為了防止給客戶帶來不必要的風(fēng)險(xiǎn),安全研究人員和供應(yīng)商在更新可用之前不會(huì)討論漏洞細(xì)節(jié)。”
微軟高級(jí)主管杰夫·瓊斯(Jeff Jones)周二發(fā)表聲明稱:“已經(jīng)進(jìn)行了更新或啟用了自動(dòng)更新功能的客戶現(xiàn)已受到保護(hù)。一如既往,我們鼓勵(lì)客戶盡快安裝所有安全更新。”微軟還表示,該公司并未看到任何“在野外”環(huán)境中利用這個(gè)漏洞的行為,也就是并無在實(shí)驗(yàn)室測試環(huán)境之外的攻擊行為。(唐風(fēng))
關(guān)鍵詞: