KrebsOnSecurity: во всех Windows за последние 20 лет найдена критическая уязвимость

[vodopad]

Мне всё же кажется, что Microsoft всё же сделает исключение и выпустит патч для 7-ки для всех желающих.

[slonopotamus]

Вы думаете, что объявление о критической уязвимости сразу после окончания поддержки — случайное совпадение?) При том что об уязвимости они в курсе минимум с ноября.

[d-stream]

Надо же закрепить в сознании купивших платную поддерку — что они не зря потратили деньги)))))

[drWhy]

Мне всё же кажется, что Microsoft всё же сделает исключение и выпустит патч для 7-ки

И для NT заодно.

[d-stream]

Вероятнее всего — да, и вместе с ним максимально назойливое уведомление о том что поддержка кончилась.
Собственно платная поддержка семерки у ms еще несколько лет будет — так что у себя внутри они однозначно будут делать патчи, просто не всем они достанутся… хотя вроде бы уже магическое заклинание гуляет по интернетам…

[d2ab]

АНБ обнаружило проблему в криптографии Windows, которая мешает ей следить за всеми?

[McHummer1]

Это хрень а не уязвимость. А для слежки у АНБ есть нормальные полнофункциональные хорошо замаскированные бэкдоры

[icCE]

Тем временем, сегодня Microsoft официально прекратила поддержку Windows 7. Пользователи могут работать на этой ОС, однако компания перестанет выпускать обновления для неё. Таким образом, система не получит патч и для найденной уязвимости.

Только вот еще два года патчи будут.
support.microsoft.com/en-us/help/4527878/faq-about-extended-security-updates-for-windows-7

ищите по BypassESU

Мне всегда нравился этот журналисткий хайп.
Еще надо внимательно почитать будет, что там за проблема

[VitalKoshalew]

Больше хайпа!
И не выиграл, а проиграл, и не в лотерею, а в преферанс...
Эллиптические кривые в Windows NT, да.
Эксплуатации подвержены только системы не старше Windows 10 и WinServer 2016. Суть окончания поддержки Windows 7/2008 именно сегодня (в patch Tuesday) в том, чтобы выпустить последнее публично (не в Azure и не по платной подписке) доступное обновление, так что в любом случае вышел бы сегодня patch на Windows 7/2k8, если бы они были подвержены уязвимости.

[a5b]

Переводчик в целом прав, ведь в источнике https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/ явно написано уязвимость в компоненте "known as crypt32.dll", который появился 20 лет назад "This component was introduced into Windows more than 20 years ago — back in Windows NT 4.0". А обновлять перевод переводчику не нужно. Вот обновление материала Kerbs:

Update, 1:47 p.m. ET: Microsoft has released updates for this flaw (CVE-2020-0601). Their advisory is here. The NSA’s writeup (PDF) includes quite a bit more detail, as does the advisory from CERT.

Майкрософт выпустил обновления для Windows 10 (начиная примерно с 1607), Server 2019 и Server 2016: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 раздел "Security Updates"; "A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates."

В https://kb.cert.org/vuls/id/849224/ сообщают, что версии 8.1 и 2012 и более ранние не подвержены, т.к. не поддерживают ECC сертификаты с явно задаваемыми (некорректными) параметрами кривых:

Microsoft Windows versions that support certificates with ECC keys that specify parameters are affected. This includes Windows 10 as well as Windows Server 2016 and 2019. Windows 8.1 and prior, as well as the Server 2012 R2 and prior counterparts, do not support ECC keys with parameters

Более подробное письмо с инструкциями по сравнению параметров кривых: https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

Certificates with named elliptic curves, manifested by explicit curve OID values,can be ruled benign. For example, the curve OID value for standard curve nistP384 is 1.3.132.0.34. Certificates with explicitly-defined parameters (e.g., prime, a, b, base, order, and cofactor) which fully-match those of a standard curve can similarly be ruled benign.… Certificates containing explicitly-defined elliptic curve parameters which only partially match a standard curve are suspicious, especially if they include the public key for a trusted certificate, and may represent bona fide exploitation attempts.

Форумные эксперты и их предположения: https://news.ycombinator.com/item?id=22047573; вероятно ошибка при обработке ECParameters+specifiedCurve (https://news.ycombinator.com/item?id=22048619)

[icCE]

а еще оказывается, что в патчах от 13 — уязвимость убранна.
Во это поворот!

www.securitylab.ru/news/504057.php

[biakus]

Этот другой случай, когда хорошо что ты не на современной ОС ))
Старые версии не подвержены уязвимости:
Microsoft Windows versions that support certificates with ECC keys that specify parameters are affected. This includes Windows 10 as well as Windows Server 2016 and 2019. Windows 8.1 and prior, as well as the Server 2012 R2 and prior counterparts, do not support ECC keys with parameters. For this reason, such certificates that attempt to exploit this vulnerability are inherently untrusted by older Windows versions.
www.kb.cert.org/vuls/id/849224

[DimitriAus]

Мне всегда казалось странным постоянная 'проверка' сертификатов через порт 80 из svchost.exe/CryptSvc при посещении сайтов, например банка. Это происходит и в W7 и W10. В W7 за этим хоть можно следить и блокировать. Но W10 кроме этого ещё десяток служб отправляют данные (и на MS и на кучу облаков чёрт знает кому принадлежащих) каждый раз когда вы что-то делаете например когда открываете программу или текстовый файл. в 10 гораздо сложнее или вообще невозможно блокировать — вся система встанет.