Опасная уязвимость в Windows исправлена «с подачи» АНБ
Уязвимость с кодом CVE-2020-0601, обнаруженная в системе валидации сертификатов, исправлена в Windows.
Уязвимость в криптобиблиотеке CRYPT32.DLL при валидации сертификатов на основе эллиптических кривых позволяла злоумышленнику добиться того, что подпись под приложениями, устанавливаемыми в систему, признавалась валидной. Это позволяло методами социальной инженерии добиваться установки вредоносного софта на компьютеры жертвы.
В пресс-релизе АНБ сообщается также о возможности нарушения конфиденциальности HTTPS-соединений и ошибочной верификации подписей под сообщениями электронной почты.
Исправление выпущено в рамках ежемесячных исправлений Windows и затрагивает версии Windows 10 и Windows Server 2016 и 2019.
Microsoft сообщает, что им не известно о практической эксплуатации уязвимости.