Опасная уязвимость в Windows исправлена «с подачи» АНБ

Уязвимость с кодом CVE-2020-0601, обнаруженная в системе валидации сертификатов, исправлена в Windows.

Уязвимость в криптобиблиотеке CRYPT32.DLL при валидации сертификатов на основе эллиптических кривых позволяла злоумышленнику добиться того, что подпись под приложениями, устанавливаемыми в систему, признавалась валидной. Это позволяло методами социальной инженерии добиваться установки вредоносного софта на компьютеры жертвы.

В пресс-релизе АНБ сообщается также о возможности нарушения конфиденциальности HTTPS-соединений и ошибочной верификации подписей под сообщениями электронной почты.

Исправление выпущено в рамках ежемесячных исправлений Windows и затрагивает версии Windows 10 и Windows Server 2016 и 2019.

Microsoft сообщает, что им не известно о практической эксплуатации уязвимости.