信息化觀察網(wǎng)

美國國家安全局（National Security Agency，NSA）日前公布了一個(gè) Windows 10 的漏洞，該漏洞使 9 億多臺 PC 易受到攻擊。

在 NSA 發(fā)現(xiàn)并披露了該漏洞后，微軟于近日發(fā)布了 Windows 10 和 Server 2016 的補(bǔ)丁程序。Windows 10 是目前世界上使用最廣泛的操作系統(tǒng)，已安裝在超過 9 億臺 PC 上。

此漏洞出在 Windows 的一個(gè)機(jī)制中，它用于確認(rèn)軟件的合法性或建立安全的 Web 連接，如果驗(yàn)證檢查本身不可信，則攻擊者可以進(jìn)行遠(yuǎn)程分發(fā)惡意軟件或攔截敏感數(shù)據(jù)。

具體來講，該漏洞存在于微軟的 CryptoAPI 服務(wù)中，這一服務(wù)可幫助開發(fā)人員以加密方式對軟件和數(shù)據(jù)進(jìn)行“簽名”或生成用于身份驗(yàn)證的數(shù)字證書，以證明 Windows 在用戶設(shè)備上對其進(jìn)行檢查時(shí)的可信度和有效性。攻擊者可能利用該漏洞破壞關(guān)鍵保護(hù)，并最終控制受害設(shè)備。

“我們建議網(wǎng)絡(luò)所有者盡快采取補(bǔ)丁措施，我們也會(huì)這樣做”，NSA 網(wǎng)絡(luò)安全局局長 Anne Neuberger 對記者表示： “當(dāng)我們發(fā)現(xiàn)像這樣的廣泛的加密漏洞時(shí)，我們迅速轉(zhuǎn)向與該公司合作，以確保他們可以緩解它。”

目前未見到具體對該漏洞的深入分析，但是以 NSA 的對待態(tài)度來看，這一問題應(yīng)當(dāng)十分嚴(yán)峻，甚至可以回想起當(dāng)年的 WannaCry 與永恒之藍(lán)，當(dāng)時(shí) NSA 早已知曉相關(guān)安全漏洞存在，但沒有對外披露，還基于該漏洞使用永恒之藍(lán)這樣的網(wǎng)絡(luò)武器用于滲透和間諜活動(dòng)，最終爆發(fā)的 WannaCry 病毒席卷了全球。事后 NSA 遭到外界的批評。

實(shí)際上，Anne 對記者表示，向微軟和公眾公開此次的嚴(yán)重漏洞正是 NSA 新計(jì)劃的一部分，該計(jì)劃將使 NSA 更快、更頻繁地分享其漏洞發(fā)現(xiàn)結(jié)果：“外界很難相信我們確實(shí)認(rèn)真對待這一點(diǎn)，并且確保減輕漏洞是絕對優(yōu)先事項(xiàng)。”