Как стать автором
Поиск
Написать публикацию
Обновить

Криптографический баг Windows продемонстрировали в симуляции атаки

Время на прочтение3 мин
Количество просмотров13K
Информационная безопасность*Разработка под Windows*СофтНастольные компьютерыIT-компании
Всего голосов 13: ↑13 и ↓0+13
Комментарии16

Комментарии 16

Для windows 7 исправление будет? Иначе тот факт, что об уязвимости заявили через день после окончания официального срока её поддержки выглядит двусмысленно.
Всего голосов 2: ↑1 и ↓10
via portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601#ID0EGB
Are versions older than Windows 10 versions affected by this vulnerability?
No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected.
Всего голосов 3: ↑3 и ↓0+3

Так я не понимаю, в чём смысл уязвимости-то? Позволяет ставить левые драйвера? Я драйвера никакие не ставлю. Позволяет по https заходить на левые вебсайты? Я IE не пользуюсь. Чем оно мне угрожает-то?

Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
"What Saleem just demonstrated is: with [a short] script you can generate a cert for any website, and it's fully trusted on IE and Edge with just the default settings for Windows," Kenn White, a researcher and security principal at MongoDB, said. "That's fairly horrifying. It affects VPN gateways, VoIP, basically anything that uses network communications."

Так ещё раз — если IE/Edge и прочие стандартные виндовые приблуды не используются, то где опасность?

Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь

Огнелис сказал, что


An error occurred during a connection to chainoffools.kudelskisecurity.com. security library: improperly formatted DER-encoded message.

Так что всё путём, живём дальше. А кто использует IE и Edge — это не ко мне, это к психиатру :)

Всего голосов 3: ↑0 и ↓3-3
НЛО прилетело и опубликовало эту надпись здесь

Я думаю, что под угрозой не те, кто использует IE и Edge, а кто проверяет сертификаты с использованием библиотеки Windows. У FF кажется свой каталог сертификатов, он не связан с Windows.

Комментарий пока не оценивали0
Полагаю, позволяет подсунуть левые апдейты через спуфинг адреса сервера обновлений и подписи самих обновлений.
Комментарий пока не оценивали0

А Хром свои либы использует или системные?

Комментарий пока не оценивали0
После последнего обновления — использует свою реализацию.
Комментарий пока не оценивали0
И самое интересное, что на таких системах крутится гостайна, и ФСТЭК официально выдает всякие сертификаты и разрешения на использование криптографии…
Всего голосов 1: ↑0 и ↓1-1

И скорее всего они даже не знают об уязвимости

Всего голосов 2: ↑1 и ↓10
Системы, где крутится гостайна, к интернету не подключены и чтобы до них физически добраться, придется пройти сурового рейд-босса Марию Ивановну на проходной
Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr