V današnji nadgradnji Oken tudi popravek kritične varnostne luknje
Dare Hriberšek
14. jan 2020 ob 18:34:58
Microsoft bo danes, v okviru redne januarske torkove nadgradnje, zakrpal še posebej veliko varnostno vrzel. Uporabnike obenem pozivajo, da popravke namestijo kar se da hitro, saj je pričakovati, da bo luknja zlorabljena takoj, ko bodo objavljene podrobnosti o njej. Gre za kritično napako v datoteki crypt32.dll, ta upravlja ključne šifrirne funkcije v modulu CryptoAPI, ki ga razvijalci uporabljajo za zavarovanje okenskih aplikacij s pomočjo šifriranja. Ena njegovih ključnih funkcij je prav šifriranje in dešifriranje podatkov s pomočjo digitalnih certifikatov. Ker modul izhaja še iz časov Windows NT 4.0, torej izpred dveh desetletij, so najverjetneje ogrožene prav vse različice Oken.
Varnostna napaka bi tako lahko ogrozila ustrezno avtentikacijo na Windows PC računalnikih in strežnikih, zlasti podatke, ki jih obdelujeta Microsoftova brskalnika. Prav tako bi napadalcem omogočila poneverbo digitalnih certifikatov za posamezne programe, zaradi česar bi lahko na sisteme povsem legitimno namestili poljubno zlonamerno kodo.
Bolj zanimivo je, da je napako odkrila ameriška varnostna agencija NSA, njena direktorica za informacijsko varnost Anne Neuberger pa je o tem dala tudi izjavo za javnost, v kateri je potrdila, da gre za prvi primer, ko se mora Microsoft zahvaliti NSA za obvestilo o varnostni luknji. Povedala je še, da so njihovi preiskovalci vrzel odkrili pri lastnem delu in da po podatkih, ki jih imajo od Microsofta doslej še ni bila zlorabljena. Prav zato so nekatere pomembnejše Microsoftove stranke, med njimi ameriška vojska, nadgradnjo že prejeli v preteklih dneh, pri tem pa so morali podpisati dogovor o nerazkrivanju podrobnosti vse do danes, ko so podatki o hrošču prišli v javnost.
Seveda se brez vsake zlobe poraja vprašanje, koliko časa je NSA varnostno luknjo s pridom uporabljala, preden jo je naznanila Microsoftu? Redmondski velikan in ameriška vlada - zlasti del, ki se nanaša na vojsko in obveščevalno dejavnost - zadnje mesece tesno sodelujeta, saj je prav Microsoft lani oktobra zmagal na razpisu za IT posel desetletja, projekt JEDI. A ta še ni trdno v njihovih rokah, zdi se, da bo Amazon napravil vse, da s pomočjo sodišča zadevo vrne v ponovno odločanje.