» »

V današnji nadgradnji Oken tudi popravek kritične varnostne luknje

V današnji nadgradnji Oken tudi popravek kritične varnostne luknje

vir: Pixabay

Krebs On Security - Microsoft bo danes, v okviru redne januarske torkove nadgradnje, zakrpal še posebej veliko varnostno vrzel. Uporabnike obenem pozivajo, da popravke namestijo kar se da hitro, saj je pričakovati, da bo luknja zlorabljena takoj, ko bodo objavljene podrobnosti o njej. Gre za kritično napako v datoteki crypt32.dll, ta upravlja ključne šifrirne funkcije v modulu CryptoAPI, ki ga razvijalci uporabljajo za zavarovanje okenskih aplikacij s pomočjo šifriranja. Ena njegovih ključnih funkcij je prav šifriranje in dešifriranje podatkov s pomočjo digitalnih certifikatov. Ker modul izhaja še iz časov Windows NT 4.0, torej izpred dveh desetletij, so najverjetneje ogrožene prav vse različice Oken.

Varnostna napaka bi tako lahko ogrozila ustrezno avtentikacijo na Windows PC računalnikih in strežnikih, zlasti podatke, ki jih obdelujeta Microsoftova brskalnika. Prav tako bi napadalcem omogočila poneverbo digitalnih certifikatov za posamezne programe, zaradi česar bi lahko na sisteme povsem legitimno namestili poljubno zlonamerno kodo.

Bolj zanimivo je, da je napako odkrila ameriška varnostna agencija NSA, njena direktorica za informacijsko varnost Anne Neuberger pa je o tem dala tudi izjavo za javnost, v kateri je potrdila, da gre za prvi primer, ko se mora Microsoft zahvaliti NSA za obvestilo o varnostni luknji. Povedala je še, da so njihovi preiskovalci vrzel odkrili pri lastnem delu in da po podatkih, ki jih imajo od Microsofta doslej še ni bila zlorabljena. Prav zato so nekatere pomembnejše Microsoftove stranke, med njimi ameriška vojska, nadgradnjo že prejeli v preteklih dneh, pri tem pa so morali podpisati dogovor o nerazkrivanju podrobnosti vse do danes, ko so podatki o hrošču prišli v javnost.

Seveda se brez vsake zlobe poraja vprašanje, koliko časa je NSA varnostno luknjo s pridom uporabljala, preden jo je naznanila Microsoftu? Redmondski velikan in ameriška vlada - zlasti del, ki se nanaša na vojsko in obveščevalno dejavnost - zadnje mesece tesno sodelujeta, saj je prav Microsoft lani oktobra zmagal na razpisu za IT posel desetletja, projekt JEDI. A ta še ni trdno v njihovih rokah, zdi se, da bo Amazon napravil vse, da s pomočjo sodišča zadevo vrne v ponovno odločanje.

7 komentarjev

MrStein ::

Update, 1:47 p.m. ET: Microsoft has released updates for this flaw (CVE-2020-0601). Their advisory is here. The NSA's writeup (PDF) includes quite a bit more detail, as does the advisory from CERT.

The vulnerability affects Windows 10 and Windows Server 2016/2019.

Ostali so zgleda OK?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Matthai ::

Je pa vseeno tole zelo velik failure.

Kar pomeni, da so posodobitve več kot nujne.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

Markoff ::

koliko časa je NSA varnostno luknjo s pridom uporabljala, preden jo je naznanila Microsoftu?

Toliko časa, dokler ni zaznala, da jo izkoriščajo tudi "vanjske, pa bogami i unutrašnje, neprijateljske snage".
Verjetno imajo pri NSA dovolj drugih prepoznanih lukenj Windows Swiss Cheese OSa na zalogi, da zanje to ne predstavlja ovire pri nadaljnjem delu zagotavljanja svobode vsem.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

tikitoki ::

Kako velik je popravek?

feryz ::

Bolj je verjetna druga stvar. Da so vrzel namerno pustili le za točno določene ljudi ali organizacije.
Zdaj pa, kot piše Markoff, so to ugotovili tudi drugi in je po dveh desetletjih ultra nujno, da se to poflika takoj.

MrStein ::

Zanimivo, ta luknja je označena kot "Important", so pa danes patch-i za tri druge (vse za .NET), ki so označene kot "Critical" / "Remote Code Execution" :

https://portal.msrc.microsoft.com/en-US... CVE-2020-0605
https://portal.msrc.microsoft.com/en-US... CVE-2020-0606
https://portal.msrc.microsoft.com/en-US... CVE-2020-0646
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

b3D_950 ::

Zdaj ko je mir, jemo samo krompir.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

TrueCrypt na precepu (strani: 1 2 )

Oddelek: Novice / Varnost
7122493 (17853) MrStein
»

Kritična ranljivost v GnuTLS neodkrita skoraj devet let (strani: 1 2 3 )

Oddelek: Novice / Varnost
13424090 (19648) jype
»

Šifriranje skoraj ni ovira za NSA in GCHQ (strani: 1 2 )

Oddelek: Novice / NWO
6137351 (31876) trizob
»

NSA in Microsoft prestrezala komunikacijo pred šifriranjem (strani: 1 2 3 )

Oddelek: Novice / NWO
13043084 (38106) Truga

Več podobnih tem