» »

V današnji nadgradnji Oken tudi popravek kritične varnostne luknje

V današnji nadgradnji Oken tudi popravek kritične varnostne luknje

vir: Pixabay

Krebs On Security - Microsoft bo danes, v okviru redne januarske torkove nadgradnje, zakrpal še posebej veliko varnostno vrzel. Uporabnike obenem pozivajo, da popravke namestijo kar se da hitro, saj je pričakovati, da bo luknja zlorabljena takoj, ko bodo objavljene podrobnosti o njej. Gre za kritično napako v datoteki crypt32.dll, ta upravlja ključne šifrirne funkcije v modulu CryptoAPI, ki ga razvijalci uporabljajo za zavarovanje okenskih aplikacij s pomočjo šifriranja. Ena njegovih ključnih funkcij je prav šifriranje in dešifriranje podatkov s pomočjo digitalnih certifikatov. Ker modul izhaja še iz časov Windows NT 4.0, torej izpred dveh desetletij, so najverjetneje ogrožene prav vse različice Oken.

Varnostna napaka bi tako lahko ogrozila ustrezno avtentikacijo na Windows PC računalnikih in strežnikih, zlasti podatke, ki jih obdelujeta Microsoftova brskalnika. Prav tako bi napadalcem omogočila poneverbo digitalnih certifikatov za posamezne programe, zaradi česar bi lahko na sisteme povsem legitimno namestili poljubno zlonamerno kodo.

Bolj zanimivo je, da je napako odkrila ameriška varnostna agencija NSA, njena direktorica za informacijsko varnost Anne Neuberger pa je o tem dala tudi izjavo za javnost, v kateri je potrdila, da gre za prvi primer, ko se mora Microsoft zahvaliti NSA za obvestilo o varnostni luknji. Povedala je še, da so njihovi preiskovalci vrzel odkrili pri lastnem delu in da po podatkih, ki jih imajo od Microsofta doslej še ni bila zlorabljena. Prav zato so nekatere pomembnejše Microsoftove stranke, med njimi ameriška vojska, nadgradnjo že prejeli v preteklih dneh, pri tem pa so morali podpisati dogovor o nerazkrivanju podrobnosti vse do danes, ko so podatki o hrošču prišli v javnost.

Seveda se brez vsake zlobe poraja vprašanje, koliko časa je NSA varnostno luknjo s pridom uporabljala, preden jo je naznanila Microsoftu? Redmondski velikan in ameriška vlada - zlasti del, ki se nanaša na vojsko in obveščevalno dejavnost - zadnje mesece tesno sodelujeta, saj je prav Microsoft lani oktobra zmagal na razpisu za IT posel desetletja, projekt JEDI. A ta še ni trdno v njihovih rokah, zdi se, da bo Amazon napravil vse, da s pomočjo sodišča zadevo vrne v ponovno odločanje.

7 komentarjev

MrStein ::

Update, 1:47 p.m. ET: Microsoft has released updates for this flaw (CVE-2020-0601). Their advisory is here. The NSA's writeup (PDF) includes quite a bit more detail, as does the advisory from CERT.

The vulnerability affects Windows 10 and Windows Server 2016/2019.

Ostali so zgleda OK?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Matthai ::

Je pa vseeno tole zelo velik failure.

Kar pomeni, da so posodobitve več kot nujne.
All those moments will be lost in time, like tears in rain...
Time to die.

Markoff ::

koliko časa je NSA varnostno luknjo s pridom uporabljala, preden jo je naznanila Microsoftu?

Toliko časa, dokler ni zaznala, da jo izkoriščajo tudi "vanjske, pa bogami i unutrašnje, neprijateljske snage".
Verjetno imajo pri NSA dovolj drugih prepoznanih lukenj Windows Swiss Cheese OSa na zalogi, da zanje to ne predstavlja ovire pri nadaljnjem delu zagotavljanja svobode vsem.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

tikitoki ::

Kako velik je popravek?

feryz ::

Bolj je verjetna druga stvar. Da so vrzel namerno pustili le za točno določene ljudi ali organizacije.
Zdaj pa, kot piše Markoff, so to ugotovili tudi drugi in je po dveh desetletjih ultra nujno, da se to poflika takoj.

MrStein ::

Zanimivo, ta luknja je označena kot "Important", so pa danes patch-i za tri druge (vse za .NET), ki so označene kot "Critical" / "Remote Code Execution" :

https://portal.msrc.microsoft.com/en-US... CVE-2020-0605
https://portal.msrc.microsoft.com/en-US... CVE-2020-0606
https://portal.msrc.microsoft.com/en-US... CVE-2020-0646
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

b3D_950 ::

Zdaj ko je mir, jemo samo krompir.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kaj nas je Assange naučil s Cialeakom? Da enkripcija deluje

Oddelek: Novice / Zasebnost
426491 (3098) Saul Goodman
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20146644 (20839) MrStein
»

Kako resna podjetja komunicirajo? (strani: 1 2 )

Oddelek: Informacijska varnost
7313113 (8311) SeMiNeSanja
»

Kriptografija in kriptoanalitika (strani: 1 2 )

Oddelek: Znanost in tehnologija
826935 (5026) [D]emon

Več podobnih tem