本月的補(bǔ)丁星期二注定是不平凡的，不僅是因?yàn)?020年首個(gè)累積更新活動(dòng)，而是修復(fù)了存在于Windows系統(tǒng)中的嚴(yán)重安全漏洞，更為重要的是美國(guó)國(guó)家安全局（NSA）首次向微軟發(fā)出警告，稱在Windows系統(tǒng)中發(fā)現(xiàn)安全漏洞。這也是在NSA歷史上首次向微軟發(fā)出此類報(bào)告。

在以往的概念中，NSA往往會(huì)利用Windows系統(tǒng)中的漏洞來達(dá)到各種目的，絕對(duì)不會(huì)讓微軟知道哪些漏洞是有效的。不過在2020年的第1個(gè)月里，NSA似乎自愿報(bào)告了這個(gè)漏洞。這無疑是一件好事，新漏洞的代碼名為CVE-2020-0601，簡(jiǎn)稱為“NSACrypt”。

報(bào)道中稱存在于Windows組件crypt32.dll中的安全漏洞非常嚴(yán)重，以至于Microsoft提前向政府安全服務(wù)發(fā)布了補(bǔ)丁。KrebsonSecurity表示：“多方消息源確認(rèn)，微軟公司定于本周二發(fā)布軟件更新，以修復(fù)所有Windows版本中核心加密組件中的嚴(yán)重漏洞。目前相關(guān)補(bǔ)丁已經(jīng)提前發(fā)給了美軍分支機(jī)構(gòu)、以及管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的其他高價(jià)值客戶/目標(biāo)，而且這些組織被要求簽署協(xié)議以阻止他們透露漏洞的細(xì)節(jié)。”

這個(gè)問題影響到NSA的Windows 10操作系統(tǒng)，在企業(yè)內(nèi)部和消費(fèi)者當(dāng)中普遍存在。這個(gè)漏洞影響到用于驗(yàn)證軟件或文件等內(nèi)容的數(shù)字簽名的加密技術(shù)。如果被犯罪分子利用，則這個(gè)漏洞能讓其發(fā)送帶有虛假簽名的惡意內(nèi)容，并使其看起來很安全。

目前還不清楚在提醒微軟注意上述漏洞之前，美國(guó)國(guó)家安全局知道這個(gè)漏洞已有多久，但此次合作與該局和微軟等主要軟件開發(fā)商過去的互動(dòng)有所不同。以往，美國(guó)國(guó)家安全局總會(huì)對(duì)一些主要漏洞做保密處理，以便將其用作美國(guó)技術(shù)庫的一部分。

微軟為此發(fā)表了一份聲明，但拒絕證實(shí)或提供更多細(xì)節(jié)。聲明稱：“我們遵循協(xié)調(diào)披露漏洞的原則，將其作為保護(hù)客戶免受安全漏洞影響的行業(yè)最佳實(shí)踐。為了防止給客戶帶來不必要的風(fēng)險(xiǎn)，安全研究人員和供應(yīng)商在更新可用之前不會(huì)討論漏洞細(xì)節(jié)?！?/p>

微軟高級(jí)主管杰夫·瓊斯（Jeff Jones）周二發(fā)表聲明稱：“已經(jīng)進(jìn)行了更新或啟用了自動(dòng)更新功能的客戶現(xiàn)已受到保護(hù)。一如既往，我們鼓勵(lì)客戶盡快安裝所有安全更新?！蔽④涍€表示，該公司并未看到任何“在野外”環(huán)境中利用這個(gè)漏洞的行為，也就是并無在實(shí)驗(yàn)室測(cè)試環(huán)境之外的攻擊行為。