Je tak trochu ironické, že den poté, co Microsoft ukončil podporu operačního systému Windows 7, musí upozornit na nutnost opravy aktuálních Windows 10 a serverových systémů. V rámci záplatovacího druhého úterý v měsíci totiž vydal aktualizaci, která je poměrně jednoduše zneužitelná a již nyní pro to existují postupy.
Chyba označovaná jako CVE-2020-0601 je důsledkem nedostatku v šifrovací funkcionalitě. Konkrétně v zabezpečení ověřování certifikátu, což vede k tomu, že útočník může zneužít způsob, jakým systém Windows ověřuje důvěryhodnost spojení a povolit vzdálené spuštění kódu.
Chyba se může projevit v zabezpečeném připojení HTTPS, u elektronicky podepsaných souborů či e-mailů a tak dále.
Microsoft již vydal opravu této chyby, takže se doporučuje co nejdříve aktualizovat systém.
Zajímavé je, že o této zranitelnosti informovala Microsoft jedna z tajných služeb Spojených států. Je to patrně vůbec poprvé, co NSA něco takového udělala a ještě se k tomu veřejně přihlásila.
This #PatchTuesday you are strongly encouraged to implement the recently released CVE-2020-0601 patch immediately.
https://t.co/czVrSdMwCR https://t.co/log6OU93cV
Většinou si podobné nedostatky nechává pro sebe a využívá je ke své zpravodajské činnosti.
