How to become an author
Search
Write a publication
Pull to refresh

Comments 16

Для windows 7 исправление будет? Иначе тот факт, что об уязвимости заявили через день после окончания официального срока её поддержки выглядит двусмысленно.
Total votes 2: ↑1 and ↓10
via portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601#ID0EGB
Are versions older than Windows 10 versions affected by this vulnerability?
No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected.
Total votes 3: ↑3 and ↓0+3

Так я не понимаю, в чём смысл уязвимости-то? Позволяет ставить левые драйвера? Я драйвера никакие не ставлю. Позволяет по https заходить на левые вебсайты? Я IE не пользуюсь. Чем оно мне угрожает-то?

This comment wasn’t rated yet0
UFO just landed and posted this here
"What Saleem just demonstrated is: with [a short] script you can generate a cert for any website, and it's fully trusted on IE and Edge with just the default settings for Windows," Kenn White, a researcher and security principal at MongoDB, said. "That's fairly horrifying. It affects VPN gateways, VoIP, basically anything that uses network communications."

Так ещё раз — если IE/Edge и прочие стандартные виндовые приблуды не используются, то где опасность?

This comment wasn’t rated yet0
UFO just landed and posted this here

Огнелис сказал, что


An error occurred during a connection to chainoffools.kudelskisecurity.com. security library: improperly formatted DER-encoded message.

Так что всё путём, живём дальше. А кто использует IE и Edge — это не ко мне, это к психиатру :)

Total votes 3: ↑0 and ↓3-3
UFO just landed and posted this here

Я думаю, что под угрозой не те, кто использует IE и Edge, а кто проверяет сертификаты с использованием библиотеки Windows. У FF кажется свой каталог сертификатов, он не связан с Windows.

This comment wasn’t rated yet0
Полагаю, позволяет подсунуть левые апдейты через спуфинг адреса сервера обновлений и подписи самих обновлений.
This comment wasn’t rated yet0

А Хром свои либы использует или системные?

This comment wasn’t rated yet0
После последнего обновления — использует свою реализацию.
This comment wasn’t rated yet0
И самое интересное, что на таких системах крутится гостайна, и ФСТЭК официально выдает всякие сертификаты и разрешения на использование криптографии…
Total votes 1: ↑0 and ↓1-1

И скорее всего они даже не знают об уязвимости

Total votes 2: ↑1 and ↓10
Системы, где крутится гостайна, к интернету не подключены и чтобы до них физически добраться, придется пройти сурового рейд-босса Марию Ивановну на проходной
Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here
Sign up to leave a comment.

Other news

Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr