美國安全局曝光Win10超級漏洞？微軟：誇大了 已經修複

日前有報道稱美國國家安全局NSA向微軟報告了一個漏洞，編號CVE-2020-0601，影響Windows 10所有版本，這還是NSA首次向微軟報告漏洞而不是將漏洞武器化。

對於這個漏洞的危害，部分媒體報道稱這是非常嚴重的漏洞，或者說是超級漏洞，但是微軟內部人士表示這是媒體的誇大而已，指責部分媒體不負責任、選擇性報道、惡意揣測的內容，這個漏洞並沒有報道中的那麼嚴重。

根據微軟的介紹，CVE-2020-0601漏洞位於Windows CryptoAPI(Crypt32.dll)驗證橢圓曲線加密算法證書的方式，可能影響信任的一些實例包括（不限於）：HTTPS連接、文件簽名和電子郵件簽名、以用戶模式啟動的簽名可執行程序。

此外，該漏洞可以讓攻擊者偽造代碼簽名證書對惡意可執行文件進行簽名，使文件看似來自可信的來源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書，從而促使用戶安裝。中間人攻擊並解密用戶連接到受影響軟件的機密信息也是主要的攻擊場景之一。

CVE-2020-0601漏洞會影響Windows 10、Windows Server 2016/2019以及依賴於Windows CryptoAPI的應用程序，但Windows 7、Windows Server 2008 R2不受影響。

目前這個漏洞已經修複了，升級係統即可，暫時還沒有發現利用這個漏洞的攻擊方式。

PS：如果這個漏洞真的如部分媒體說的那麼重要，NSA大概率是不會公開的，更別說報告給微軟修複。