美国国家安全局向微软提交严重级别的加密安全漏洞并提前获得补丁修复

稿源：蓝点网 2020-01-17 19:07:24

在棱镜计划曝光和影子经纪人泄密后我们知道诸如美国国家安全局等机构会收集和购买各种安全漏洞以展开攻击。

然而让人意外的是美国国家安全局此次发现漏洞后竟然是向微软反馈，然后微软在本月累积更新对漏洞进行修复。

当然这枚安全漏洞的危害等级极高也影响到美国政府机构和美国军队的分支机构，这也必须让微软来修复该漏洞。

值得注意的是在签署相关保密协议后微软实际上已经提前把补丁发送给上述机构，而不是等到今天的例行更新日。

图片来自：ITProToday

加密组件验证ECC算法存在欺骗漏洞：

ECC即椭圆曲线算法是目前主流使用的加密算法之一，而 Windows CryptoAPI 是微软用于验证这类算法的组件。

本次发生漏洞的就是微软这个加密验证组件，攻击者利用特殊手段可以使用伪造的数字证书对恶意文件进行签名。

然后这会让恶意文件看起来就像是经过正规签名的合法应用，这可以用来绕过微软及部分安全软件开发商的检测。

而现代加密算法又是许多安全领域依赖最高的加密体系，虽然算法本身没有问题但微软组件也会让这个体系崩塌。

这也是这枚安全漏洞危害等级极高的主要原因，基于此美国国家安全局决定向微软披露漏洞以获得微软官方修复。

美政府和军队等机构要求提前获得补丁：

尽管美国国家安全局并没有透露此漏洞是否在野外发现黑客利用，但显然基于安全考虑越早修复安全性也会越高。

为此美国国家安全局与微软达成协议向微软披露漏洞但要求提前获得补丁，然后提前在所有关键设施里部署补丁。

当然最终结果是微软同意提前提供补丁但要求这些机构签署保密协议，在补丁未公开发布前也不得透露任何细节。

不过基于安全考虑微软当前并未透露关于该漏洞的更多细节，估计要等到绝大多数用户部署更新后细节才会披露。

漏洞存在多久暂时也没有消息：

按美国国家安全局以往作风来看即便发现安全漏洞也会先进行利用，现在反馈给微软进行修复或许也是不得已的。

而漏洞被发现多久也没人知道，外媒猜测称说不好漏洞早已经被发现并被加以利用然后才会被通报给微软来修复。

针对此次安全问题微软发言人表示遵循协调披露漏洞原则，为降低风险研究人员和供应商不会在漏洞公开前披露。

同时微软强调已启用自动更新或部署更新的用户现在已经获得保护，同时一如既往地鼓励所有用户尽快安装补丁。

暂无