Источники портала KrebsOnSecurity сообщают, что критическая уязвимость присутствует в модуле Windows “crypt32.dll”, который отвечает за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. Последняя обеспечивает работу служб, используемых для защиты приложений Windows с помощью шифрования.
Проблемы в компоненте могут угрожать безопасности хранения персональных данных, аутентификации на Windows-ПК и использования встроенных программ. Кроме того, административный доступ к “crypt32.dll” позволяет хакерам выдавать вирусное ПО за официальные разработки крупных компаний, что достигается путём подделки цифровой подписи.
Компонент присутствует во всех версиях Windows, выпущенных за 20 лет. Microsoft представила исправление 14 января, оборонные предприятия США и другие крупные клиенты подписали соглашение о неразглашении подробностей уязвимости до первого “вторника исправлений” в 2020 году.