NSA avslöjar kritisk sårbarhet i Windows 10

NSA avslöjar kritisk sårbarhet i Windows 10

Den amerikanska säkerhetsmyndigheten NSA avslöjar kritiska sårbarheter i Windows 10 gällande kryptografisk signering, och användare uppmanas att installera åtgärder omedelbart.

När det gäller sårbarheter i hårdvara eller mjukvara tenderar säkerhetsbolag eller specialiserade grupper vara de som avslöjar nya sårbarheter, men med den senaste sårbarheten i Windows 10 och Windows Server 2016 är det något otypiskt den amerikanska säkerhetsmyndigheter NSA som går ut med varningen, ett tecken på hur pass allvarlig bristen är.

Sårbarheten ligger i hur Windows 10 validerar mjukvara och etablerar säkra krypterade anslutningar över internet. Dessa funktioner använder Microsofts gränssnitt CryptoAPI vilket används av utvecklare för att skapa digitala certifikat för krypterad autentisering. Mjukvara eller anslutningar som signerats med gränssnittet är betrodda av Windows, vilket gör sårbarheten allvarlig då angripare får fritt spelrum med falska signaturer.

This is a core, low-level piece of the Windows operating system and one that establishes trust between administrators, regular users, and other computers on both the local network and the internet. If the technology that ensures that trust is vulnerable, there could be catastrophic consequences. But precisely what scenarios and preconditions are required—we're still analyzing. It will be a long day for a lot of Windows administrators around the world.

Ett flertal säkerhetsexperter understryker allvaret i bristen, och uppmanar alla användare att omedelbart installera åtgärdande säkerhetsuppdateringar. Kenn White, säkerhetsansvarig hos databasleverantören MongoDB och chef för projektet Open Crypto Audit Project, menar att bristen potentiellt kan få katastrofala konsekvenser och kommer ge säkerhetsansvariga huvudvärk framöver.

Bristen är extra allvarlig då den påverkar alla användare av Windows 10, och kräver inte de invecklade attackmönster som annars gör angrepp osannolika för den gemene användaren. Microsoft svarade snabbt på avslöjandet och säkerhetsuppdateringar med åtgärder mot CryptoAPI-bristerna finns redan tillgängliga i uppdateringar för påverkade Windows-system.

Microsoft beskriver sårbarheterna relaterade till CryptoAPI på informationssidan med säkerhetsbeteckningen CVE-2020-0601, samt listar tillgängliga åtgärder för Windows 10, Windows Server 2016 och Windows Server 2019. I vanlig ordning bör du installera de senast tillgängliga uppdateringarna för ditt Windows-system.

Läs mer om säkerhetsbrister:

Skicka en rättelse
10

EVGA använder nedskalad Geforce RTX 2080-krets till billiga RTX 2060 KO

Under CES 2020 presenterade EVGA prispressat RTX 2060, men avslöjade inte knepen för att nå prispunkten. Nu levererar Techpowerup svaren. Läs mer

72

Fixa lösenordshanterare på den årliga lösenordsbytardagen

Den en gång nödvändiga lösenordsbytardagen är numera en årlig påminnelse om att byta till en mer modern lösenordshantering. Läs mer

222

Har svärtan i OLED förstört bio för dig?

Har du sedan köp av en grym TV också svårt att njuta av filmer på bioduken? Den frågan ställer @XHI i forumet där ämnet diskuteras för fullt. Läs mer

64

Regeringen tar nya tag om utbyggnad av bredband i hela Sverige

Regeringens nya förslag för bredbandsutbyggnad kommer efter det blir klart att de tidigare satta målen för 2020 inte kommer nås. Läs mer

120

EU överväger förbud mot ansiktsigenkänning på offentliga platser

Förbudet mot ansiktsigenkänning på offentliga platser föreslås gälla i fem år, vilket ska ge tid till att utvärdera riskerna. Läs mer

29

Intel NUC med Tiger Lake och Xe-grafik på bild

Senare under året släpper Intel åtminstone två nya NUC-datorer med Intel Tiger Lake, den ena med dedikerat grafikkort. Läs mer

47

AMD Ryzen 4000 "Zen 3" får stöd i Linux

Nya tillägg i Linux-kärnan lägger till stöd för kommande arkitekturen Zen 3 och bekräftar därmed att stationära Ryzen 4000-serien närmar sig. Läs mer

56

Teknikmagasinet har potentiell köpare

Konkursförklarade butikskedjan Teknikmagasinet har en spekulant, som vid lyckad affär kan driva verksamheten vidare – på ett eller annat sätt. Läs mer

20

AMD Radeon RX 5600 XT prestandatestas i trimmat utförande

Uppgifterna om att AMD höjer Radeon RX 5600 XT-prestandan inför lansering ser ut att stämma, och nu skymtas kortet i databasen för 3DMark-sviten. Läs mer

297

Veckans fråga: Vilken webbläsare använder du?

Med Microsofts byte till Chromium i Edge handlar veckans fråga om vilken webbläsare SweClockers medlemmar använder. Läs mer

73

Quiz: Hur bra koll har du på året 2010?

Med det nya årtiondet igång är det dags att testa hur väl SweClockers medlemmar minns starten på det förra. Hur mycket minns du från 2010? Läs mer

75

AMD trimmar Radeon RX 5600 XT för att möta Nvidias prissänkning

Efter en prissänkning av Geforce RTX 2060 kontrar AMD med att skruva upp prestandan på osläppta Radeon RX 5600 XT. Läs mer