Сигурност

Microsoft пуска ъпдейт за критична уязвимост в Windows 10

Мария Динкова

Във вторник Агенцията за национална сигурността на САЩ обяви, че е открила "критична уязвимост" в операционните системи Windows на Microsoft Corp., която може да позволи киберпробиви, пише Los Angeles Times.

От Агенцията са оценили сериозността на пропуска, уведомили са Microsoft и са призовали компанията по-бързо да го поправи. По-късно същия ден технологичният гигант пусна и необходимия пач.

Същевременно Агенцията за киберсигурност и инфраструктурна сигурност, която е част от Департамента за вътрешна сигурност, публикува извънредна директива, в която "силно препоръчва организациите да инсталират тези критични пачове, колкото е възможно по-скоро".

От Агенцията за национална сигурност избраха публично да споделят, че те са открили уязвимостта – за разлика от преди, когато информацията как точно е установен пропускът в сигурността не беше обявявана. Целта на този ход е да се изгради доверие и да се насърчи подобряването на софтуера, коментира Ан Нюбъргър, директор киберсигурност в Агенцията.

"Ние искахме да предприемем нов подход на споделяне и също така наистина да работим за изграждането на доверие с общността по киберсигурност", допълва Нюбъргър.

От Microsoft отбелязаха, че не са виждали уязвимостта да се използва при атаки. Проблемът всъщност е част от Windows софтуера, известна като Crypt32.dll. Файлът се използва от Windows 10 и последните две версии на операционните системи Windows Server за прилагане на "много от функциите за сертификати и криптиране на съобщенията в CryptoAPI, като CryptSignMessage", обясняват от компанията. Това означава, че уязвимостта може да засегна широк кръг от потребители.

Като цяло публичността по въпроса показва подобрените отношения между Microsoft и Агенцията за национална сигурността, която преди тайно събираше пропуските в сигурността на Windows, за да използват инструментите за свои собствени хаквания. Подробностите около практиката станаха публични през 2017, когато група, известна като Shadow Brokers, придоби и публикува инструментите на Агенцията. Това на свой ред наложи Microsoft да предприеме спешни мерки, за да поправи уязвимостите от типа "нулев ден" (zero day). Един месец по-късно технологичният гигант обвини Агенцията за глобалното разпространение на зловредния софтуер WannaCrypt.

Microsoft има политика редовно да пуска ъпдейти за сигурността всеки втори вторник на месеца, като последната актуализация съвпада именно с този график.




© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X