美國安全局曝光Win10超級漏洞 微軟：夸大其詞 已修復(fù)

近日有報道稱美國國家安全局NSA向微軟報告了一個漏洞，編號CVE-2020-0601，影響Windows 10所有版本，這還是NSA首次向微軟報告漏洞而不是將漏洞武器化。

對于這個漏洞的危害，有媒體報道稱這是非常嚴(yán)重的漏洞，或者說是超級漏洞，但微軟內(nèi)部人士表示這是媒體的夸大而已，指責(zé)部分媒體不負(fù)責(zé)任、選擇性報道、惡意揣測的內(nèi)容，這個漏洞并沒有報道中的那么嚴(yán)重。

根據(jù)微軟的介紹，CVE-2020-0601漏洞位于Windows CryptoAPI(Crypt32.dll)驗證橢圓曲線加密算法證書的方式，可能影響信任的一些實例包括(不限于)：HTTPS連接、文件簽名和電子郵件簽名、以用戶模式啟動的簽名可執(zhí)行程序。

此外，該漏洞可以讓攻擊者偽造代碼簽名證書對惡意可執(zhí)行文件進行簽名，使文件看似來自可信的來源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書，從而促使用戶安裝。中間人攻擊并解密用戶連接到受影響軟件的機密信息也是主要的攻擊場景之一。

CVE-2020-0601漏洞會影響Windows 10、Windows Server 2016/2019以及依賴于Windows CryptoAPI的應(yīng)用程序，但Windows 7、Windows Server 2008 R2不受影響。

目前這個漏洞已經(jīng)修復(fù)了，升級系統(tǒng)即可，暫時還沒有發(fā)現(xiàn)利用這個漏洞的攻擊方式。

PS：如果這個漏洞真的如部分媒體說的那么重要，NSA大概率是不會公開的，更別說報告給微軟修復(fù)。