Вашингтон, округ Колумбия (CNN Business) Агентство национальной безопасности недавно предупредило Microsoft о серьезном недостатке в своей операционной системе Windows, который может позволить хакерам выдавать себя за законные компании программного обеспечения, заявили представители агентства во вторник.
Корпорация Майкрософт (MSFT ) выпустила обновление программного обеспечения во вторник, чтобы исправить эту уязвимость, в рамках своего обычного графика выпуска исправлений программного обеспечения.
Новости об уязвимости и патче были впервые сообщены независимым журналистом Брайаном Кребсом, который сказал, что Microsoft предоставила свое программное исправление военным и ключевым инфраструктурным компаниям перед публичным релизом во вторник.Microsoft заявила в заявлении в понедельник вечером, что она предоставляет предварительные версии своих обновлений для некоторых пользователей в рамках специальной программы тестирования. Джефф Джонс, старший директор Microsoft, отказался обсуждать специфику дефекта " для предотвращения ненужного риска для клиентов.
"Компания не сразу ответила на запрос о комментарии во вторник. Объявление АНБ о дефекте, наряду с его решением предупредить Microsoft, а не использовать ошибку в разведывательных целях, подчеркивает масштаб угрозы, которую она может представлять для предприятий, потребителей и правительственных учреждений по всему миру.
АНБ заявило, что, хотя в прошлом оно делилось информацией об уязвимости с частным сектором, это означает, что оно впервые публично заявило об этом. Агентство заявило , что это решение отражает усилия по укреплению доверия с исследователями кибербезопасности.
"Часть building trust показывает данные", - сказала журналистам во вторник на селекторном совещании директор по кибербезопасности АНБ Анна Нойбергер. Поскольку АНБ никогда не позволяло себе быть связанным с раскрытием уязвимостей, она сказала: "трудно поверить, что мы серьезно относимся к этому. И обеспечение того, что уязвимости могут быть смягчены, является абсолютным приоритетом.
"АНБ не использовало уязвимость для использования злоумышленниками, и ошибка была передана в Microsoft, как только она была обнаружена, добавил Нойбергер. Она сказала, что АНБ не обнаружило никаких других объектов, использующих эту ошибку.
Министерство внутренней безопасности заявило по этому звонку, что оно выпустит бюллетень для федеральных агентств, рекомендуя им немедленно установить патчи Microsoft.
Недостаток касается основной функции Windows, которая проверяет законность приложений и программ, функция, известная как CryptoAPI."
Это эквивалент службы безопасности здания, проверяющей удостоверения личности, прежде чем позволить подрядчику прийти и установить новое оборудование", - сказал Ашкан Солтани, эксперт по безопасности и бывший главный технолог Федеральной торговой комиссии.
Компрометируя эту функцию проверки, хакеры могут легко выдавать себя за "хорошие" компании программного обеспечения для установки плохого программного обеспечения, сказал Солтани, потенциально позволяя им шпионить за пользователями компьютеров или держать их устройства в заложниках для выкупа.