NSA avslöjar kritisk sårbarhet i Windows 10

NSA avslöjar kritisk sårbarhet i Windows 10

Den amerikanska säkerhetsmyndigheten NSA avslöjar kritiska sårbarheter i Windows 10 gällande kryptografisk signering, och användare uppmanas att installera åtgärder omedelbart.

När det gäller sårbarheter i hårdvara eller mjukvara tenderar säkerhetsbolag eller specialiserade grupper vara de som avslöjar nya sårbarheter, men med den senaste sårbarheten i Windows 10 och Windows Server 2016 är det något otypiskt den amerikanska säkerhetsmyndigheter NSA som går ut med varningen, ett tecken på hur pass allvarlig bristen är.

Sårbarheten ligger i hur Windows 10 validerar mjukvara och etablerar säkra krypterade anslutningar över internet. Dessa funktioner använder Microsofts gränssnitt CryptoAPI vilket används av utvecklare för att skapa digitala certifikat för krypterad autentisering. Mjukvara eller anslutningar som signerats med gränssnittet är betrodda av Windows, vilket gör sårbarheten allvarlig då angripare får fritt spelrum med falska signaturer.

This is a core, low-level piece of the Windows operating system and one that establishes trust between administrators, regular users, and other computers on both the local network and the internet. If the technology that ensures that trust is vulnerable, there could be catastrophic consequences. But precisely what scenarios and preconditions are required—we're still analyzing. It will be a long day for a lot of Windows administrators around the world.

Ett flertal säkerhetsexperter understryker allvaret i bristen, och uppmanar alla användare att omedelbart installera åtgärdande säkerhetsuppdateringar. Kenn White, säkerhetsansvarig hos databasleverantören MongoDB och chef för projektet Open Crypto Audit Project, menar att bristen potentiellt kan få katastrofala konsekvenser och kommer ge säkerhetsansvariga huvudvärk framöver.

Bristen är extra allvarlig då den påverkar alla användare av Windows 10, och kräver inte de invecklade attackmönster som annars gör angrepp osannolika för den gemene användaren. Microsoft svarade snabbt på avslöjandet och säkerhetsuppdateringar med åtgärder mot CryptoAPI-bristerna finns redan tillgängliga i uppdateringar för påverkade Windows-system.

Microsoft beskriver sårbarheterna relaterade till CryptoAPI på informationssidan med säkerhetsbeteckningen CVE-2020-0601, samt listar tillgängliga åtgärder för Windows 10, Windows Server 2016 och Windows Server 2019. I vanlig ordning bör du installera de senast tillgängliga uppdateringarna för ditt Windows-system.

Läs mer om säkerhetsbrister:

Skicka en rättelse
34

Ny nätaggregatsstandard – vad är ATX12VO?

Under 2020 väntas den nya nätaggregatsstandarden ATX12VO ta plats i färdigbyggda datorer, där denna endast matar 12 V-spänning till systemet. Läs mer

22

Google Envelope är en skyddsmekanism för den telefonberoende

Om du eller dina nära och kära spenderar lite för mycket tid med telefonen kan Googles telefonfodral Envelope vara lösningen. Läs mer

24

EVGA:s prispressade Geforce RTX 2060 KO når RTX 2080-prestanda

Det visar sig att EVGA:s prispressade Geforce RTX 2060 KO i vissa fall når prestanda på nivå med storasyskonet Geforce RTX 2080. Läs mer

12

Intels grafikkort prestandatestas

Kort efter att mjukvaruutvecklare fått tillgång till Intels första Xe-grafikkort letar sig prestandaresultat ut på webben. Läs mer

2

Microsoft ger utvecklare verktyg för gränssnitt på dubbla skärmar

De nya verktygen låter utvecklare doppa tårna i hur mjukvara byggs för dual screen-produkter som Surface Duo och Windows 10X. Läs mer

49

Half-Life: Alyx är färdigt och författas av gamla gardet

En frågestund med utvecklarna avslöjar att tidigare manusförfattaren Marc Laidlaw assisterat med berättandet i Half-Life: Alyx. Läs mer

12

Xiaomi knoppar av Poco till eget företag

Varumärket tillhörande populära Pocophone F1 blir ett självständigt företag, med i nuläget en ensam produkt i sortimentet. Läs mer

87

Cyberpunk 2077-försening på grund av optimering mot spelkonsoler

Nya uppgifter talar för att den senaste förseningen Cyberpunk 2077 beror på problem med optimeringar för Playstation 4 och Xbox One. Läs mer

I samarbete med Gigabyte
18

Test: Ray tracing i Wolfenstein: Youngblood med Nvidia Geforce RTX Super

Senaste tillskottet i Wolfenstein-serien fick nyligen stöd för ray tracing och DLSS, som vi nu tar en närmare titt på. Läs mer

124

AMD Radeon RX 5600 XT – Jacob och Jonas sammanfattar den nya mellanklassaren

I svallvågorna från gårdagens lansering av Radeon RX 5600 XT tar Jacob och Jonas tillfället i akt att sammanfatta det färska grafikkortet. Läs mer

14

Noctua gör Chromax Black-kylare i lågprofil för AMD Ryzen

För den som fortfarande inte omfamnat Noctuas färgschema stöper kylarmakaren om lågprofilsmodellen NH-L9a-AM4 till svart. Läs mer

35

Half-Life 1 & 2 är gratis inför Half-Life: Alyx

Valve låter spelare bekanta sig med Half-Life-seriens tidigare delar inför lanseringen av VR-titeln Half-Life: Alyx i mars. Läs mer