• Home
  • Kemi
  • Astronomien
  • Energi
  • Naturen
  • Biologi
  • Fysik
  • Elektronik
  • NSA finner stora säkerhetsbrister i Windows 10, gratis fix utfärdad

    Denna 7 augusti, 2017, filen visar en Microsoft Widows-skylt som visas i en butik i Hialeah, Fla. National Security Agency har upptäckt ett stort säkerhetsbrist i Microsofts Windows-operativsystem. Microsoft säger att NSA har meddelat företaget om det. En fix gjordes tillgänglig i tisdags, 14 januari, 2020. (AP Photo/Alan Diaz)

    National Security Agency har upptäckt ett stort säkerhetsbrist i Microsofts Windows 10-operativsystem som kan tillåta hackare att avlyssna till synes säker kommunikation.

    Men istället för att utnyttja bristen för sina egna intelligensbehov, NSA tipsade Microsoft så att de kan fixa systemet åt alla.

    Microsoft släppte en gratis mjukvarupatch för att åtgärda bristen på tisdagen och krediterade byrån för att ha upptäckt den. Företaget sa att det inte har sett några bevis för att hackare har använt tekniken som upptäckts av NSA.

    Amit Yoran, VD för säkerhetsföretaget Tenable, sa att det är "exceptionellt sällsynt om inte utan motstycke" för den amerikanska regeringen att dela sin upptäckt av en sådan kritisk sårbarhet med ett företag.

    Yoran, som var en av grundarna av Department of Homeland Securitys beredskapsteam för datorer, uppmanade alla organisationer att prioritera att lappa sina system snabbt.

    En rådgivning som NSA skickade på tisdagen sade att "konsekvenserna av att inte korrigera sårbarheten är allvarliga och utbredda."

    Microsoft sa att en angripare kunde utnyttja sårbarheten genom att förfalska ett kodsigneringscertifikat så att det såg ut som om en fil kom från en pålitlig källa.

    "Användaren skulle inte ha något sätt att veta att filen var skadlig, eftersom den digitala signaturen verkar vara från en pålitlig leverantör, " sa företaget.

    Om det utnyttjas framgångsrikt, en angripare skulle ha kunnat utföra "man-i-mitten-attacker" och dekryptera konfidentiell information om användaranslutningar, sa företaget.

    Vissa datorer kommer att få korrigeringen automatiskt om de har alternativet för automatisk uppdatering aktiverat. Andra kan få det manuellt genom att gå till Windows Update i datorns inställningar.

    Microsoft släpper vanligtvis säkerhetsuppdateringar och andra uppdateringar en gång i månaden och väntade till tisdag med att avslöja felet och NSA:s inblandning. Microsoft och NSA avböjde båda att säga när byrån meddelade företaget.

    Byrån delade sårbarheten med Microsoft "snabbt och ansvarsfullt, "Neal Ziring, teknisk chef för NSA:s cybersäkerhetsdirektorat, sa i ett blogginlägg i tisdags.

    Priscilla Moriuchi, som gick i pension från NSA 2017 efter att ha drivit sin verksamhet i Östasien och Stillahavsområdet, sa att detta är ett bra exempel på den "konstruktiva roll" som NSA kan spela för att förbättra den globala informationssäkerheten. Moriuchi, nu analytiker på det amerikanska cybersäkerhetsföretaget Recorded Future, sa att det troligen är en återspegling av förändringar som gjordes 2017 i hur USA avgör om de ska avslöja en större sårbarhet eller utnyttja den i underrättelsesyfte.

    Omarbetningen av det som kallas "Vulnerability Equities Process" lägger mer vikt vid att avslöja oparpade sårbarheter närhelst det är möjligt för att skydda grundläggande internetsystem och den amerikanska ekonomin och allmänheten.

    Dessa förändringar skedde efter att en grupp som kallar sig "Shadow Brokers" släppte en mängd hackingverktyg på hög nivå som stulits från NSA.

    © 2020 The Associated Press. Alla rättigheter förbehållna.




    © Vetenskap https://sv.scienceaq.com