今天，IT界正竭盡全力等待備受關(guān)注的Microsoft Windows 10安全補(bǔ)丁，現(xiàn)在我們知道了原因。據(jù)《華盛頓郵報(bào)》報(bào)道，美國國家安全局(NSA)發(fā)現(xiàn)Windows 10中存在一個(gè)嚴(yán)重漏洞，該漏洞可能使用戶遭受監(jiān)視或嚴(yán)重?cái)?shù)據(jù)泄露。這得到了Krebs on Security的支持，該報(bào)告稱NSA確認(rèn)確實(shí)發(fā)現(xiàn)了一個(gè)主要漏洞，并將其傳遞給了Microsoft。

過去，NSA可能會(huì)一直利用自身的安全漏洞來監(jiān)視對手。最好的例子是WannaCry和EternalBlue，這是NSA多年來發(fā)現(xiàn)和利用的Windows 10漏洞。該機(jī)構(gòu)開發(fā)了利用這些漏洞的黑客工具，但其中一些被可疑的俄羅斯黑客組織Shadow Shadows發(fā)現(xiàn)并釋放。到目前為止，EternalBlue仍在未修補(bǔ)的系統(tǒng)上用于勒索軟件，盜竊和其他類型的攻擊。

美國國家安全局(NSA)確認(rèn)該漏洞影響Windows 10和Windows Server2016。它表示，此漏洞已標(biāo)記為危險(xiǎn)漏洞，因?yàn)樗?ldquo;使信任變得脆弱”。但是，直到微軟發(fā)布補(bǔ)丁后，它才說何時(shí)發(fā)現(xiàn)該漏洞并拒絕進(jìn)一步討論。

根據(jù)Krebs的說法，該漏洞是在一個(gè)名為crypt32.dll的Windows組件中發(fā)現(xiàn)的，該組件處理“證書和加密消息傳遞功能”。該領(lǐng)域的漏洞可能影響Windows臺(tái)式機(jī)和服務(wù)器上的身份驗(yàn)證，Microsoft的Internet Explorer和Edge瀏覽器上的敏感數(shù)據(jù)以及許多第三方應(yīng)用程序。黑客還可以使用它來欺騙數(shù)字簽名，使惡意軟件看起來像合法的應(yīng)用程序。

較早前已向重要的Windows 10客戶發(fā)布了軟件補(bǔ)丁，這些客戶包括美國軍方和關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的管理人員。此后，Microsoft已為所有客戶發(fā)布了更新，并敦促他們“盡快安裝”它們。正如Krebs指出的那樣，該公司將該漏洞的可利用性評為1級(jí)-在微軟的分級(jí)系統(tǒng)中排名第二高。該公司再次確認(rèn)尚未被利用，但仍是一個(gè)重大的安全問題。