Microsoftin Windows 10:stä, Windows Server 2016:sta ja sitä uudemmista Windows Server -käyttöjärjestelmistä on löytynyt vakava haavoittuvuus. Tunnisteen CVE-2020-0601 saanut haavoittuvuus löydettiin Yhdysvaltain Kansallisen turvallisuusviraston eli NSA:n toimesta.
Haavoittuvuus CVE-2020-0601 koskee Windows-käyttöjärjestelmien käyttäjätilassa pyörivää CRYPT32.DLL-kryptografiakirjastoa ja sen tapaa tunnistaa Elliptic Curve Cryptography (ECC) -sertifikaatit. Haavoittuvuutta voidaan hyödyntää Publick Key Infrastructure- eli PKI-sertifikaattien väärentämisessä. Sen avulla haittaohjelma voi siis esiintyä tunnettuna ja turvallisena ohjelmana sekä käyttäjille että itse järjestelmälle.
Microsoft julkaisi eilen päivitykset kaikille haavoittuville käyttöjärjestelmille osana perinteistä päivitystiistaitaan. Yhtiö ei ole havainnut viitteitä, että haavoittuvuutta olisi vielä hyödynnetty haittaohjelmien toimesta.
io-tech kehottaa kaikkia käyttäjiä pitämään käyttöjärjestelmien tietoturvapäivitykset ajantasalla.
Onkohan tämä sama myös Windows 7ssa? Sillehän ne päivitykset juuri sopivasti loppui.
Tiettävästi ei koske vanhempia käyttöjärjestelmiä.
En nyt muista kuinka pitkälle mutta kaikki meidän firman asiakkaat osuvat ja siellä on jossain ajossa vielä XP kamaa, vaikka toki pääsääntöisesti juuri seiskaa.
Onkohan NSA nyt meidän kaikkien kaveri niin kuin karavaanari?
Eiköhän NSA jo ole käyttänyt tätä aika tovin ennen kuin kehtasivat informoida muitakin 🙂
Jotain mikkisofta kusi taas näitten pätsien kanssa idlenä koko ajan cpu 15-20% rasituksessa
Tämä on jos nyt ei ihan yhtä paha niin yhtä oleellinen huomioida https://www.kb.cert.org/vuls/id/491944/
NSA:lle custom made takaovi tullut muidenkin tahojen tietoon. Esittävät nyt tekevänsä hyvän työn kun ovat ”löytäneet” vakavan aukon ja pelastavat maailman.
Sama kun NSA pyytää lehtien palstoilla apua Applelta. Onneksi SUPO osaa pyytää salaiset asiat ilman julkisuus tempauksia.
”löydettiin Yhdysvaltain Kansallisen turvallisuusviraston eli NSA:n toimesta.”
Kapulakieltä. Englannista apinoitu passiivimuodon pakotus. Suomenkielessä pitäisi käyttää aktiivia, eli NSA löysi, eikä löydettiin NSAn toimesta.