Windows 10漏洞威胁互联网操作基�

1、今天早些时候，我们写了一个影响Windows 10和Server 2016的主要漏洞，被NSA发现并及时向微软报告。

2、当时，关于该漏洞的详细信息很少，但随着微软在周二的补丁更新中发布修复程序，该局透露了一个令人担忧的发现。

3、网络安全局技术总监尼尔齐林解释说：

4、CVE-2020-0601是一个严重的漏洞，因为它可以用来破坏公钥基础设施(PKI)信任。公钥基础设施是家庭用户、企业和政府在许多方面依赖的一套机制。此漏洞允许攻击者制作公钥基础架构证书来欺骗可信凭据，例如个人、网站、软件公司、服务提供商或其他人。使用伪造的证书，攻击者可以(在某些情况下)获得易受攻击系统上的用户或服务的信任，并利用这种信任来伤害用户或服务。

5、这种漏洞可能会动摇我们对密码认证机制强度的信念，让我们怀疑自己是否真的可以依赖它们。幸运的是，我们可以。CVE-2020-0601反映了PKI证书验证的一个细微的实现缺陷。和完善的技术标准；这是一个需要修复的实现。

6、CVE-2020-0601对依赖公钥基础设施获得信任的企业和系统构成了巨大的风险-就像我们所有人一样。修补是降低风险的唯一综合方法。虽然有一些方法可以检测或防止某些形式的剥削，但它们并不完整或完全可靠。企业全面应用基于Windows 10和Server 2016安装的补丁非常重要。攻击者善于发现易受攻击的目标。更多详情请参考已发布的《NSA网络安全咨询》；它提供了关于优先顺序和检测的指导。

7、这个漏洞看似不华而不实，但却是一个关键问题。信任机制是互联网运行的基础。——CVE-2020-0601允许有经验的威胁参与者颠覆这些基础。