微软将此次更新评为“重要”而非“关键” 。但在一篇博客文章中,微软安全响应中心(Micros of t Security Response Center)首席安全程序经理梅切尔·格鲁恩(Mechele Gruhn)解释说,这是因为“我们没有看到它被用于主动攻击 。”
然而,微软以外的研究人员——包括谷歌的塔维斯·奥曼迪(Tavis Ormandy)——对漏洞的评估要糟糕得多,并敦促用户在活跃的漏洞出现之前迅速修补漏洞 。
会确认所有的X 。509验证失败,不仅仅是代码签名 。好吧,我又回到炒作的火车上了,这太糟糕了 。https://t.co/6rBV1lu4Yk
——塔维斯·奥曼迪(@tavis o)2020年1月14日
漏洞在验证X的Windows密码库的组件中 。509个证书,不知何故绕过了用于验证证书的信任链 。微软关于该漏洞的咨询称,该漏洞可能被用来伪造恶意版本的应用程序的软件签名证书,使其看起来像是来自受信任的开发人员 。然而,风险不仅仅是代码签名 。安全局的一项咨询指出,该漏洞可用于针对安全HTTP(HT TPS)连接的中间人攻击,以及欺骗签名文件和电子邮件 。
只要不使用Windows的证书验证,就有可能对使用检查TLS流量的网络设备的欺骗证书进行网络级保护 。但安全局警告说,“快速采用补丁是目前唯一已知的缓解措施,应该是所有网络所有者的首要关注点 。”
当然,还有很多其他更紧迫的事情,我们知道-就像所有的Citrix和脉冲安全VPN,还没有修复 。
现在回到那些数百个未补丁的政府SSLVP N盒,这些盒子正在被积极地利用,并将您放在网络中,并给您有效的凭据 。
【补丁Windows 10和服务器现在 因为证书验证被打破】
推荐阅读
- 卫生间推拉门选择有哪些技巧 卫生间推门好还是推拉门好
- 如何挑选松子 如何挑选松子仁
- 我就是这般女子西瓜免费下载 我就是这般女子电视剧免费观看
- 为什么只胖肚子部分,怎么办
- 特价:Anker无线充电垫很棒 这只售价$ 8.49美元
- 平果县特色文化
- 知识科普:股权登记日和除权除息日区别
- 微软笔记本电脑口碑怎么样 微软笔记本适合什么人群
- iphone保存的密码怎么看