NSA แจ้งเตือนช่องโหว่วินโดวส์ตรวจสอบใบรับรองผิดพลาด เปิดทางดักฟังการเชื่อมต่อทั้งหมด |
NSA แจ้งเตือนช่องโหว่วินโดวส์ตรวจสอบใบรับรองผิดพลาด เปิดทางดักฟังการเชื่อมต่อทั้งหมด Posted: 14 Jan 2020 11:51 AM PST NSA แจ้งเตือนถึงแพตช์ช่องโหว่ CVE-2020-0601 กระทบ Windows 10, Windows Server 2016, และ Windows Server 2019 ที่เป็นความผิดพลาดของฟังก์ชั่นเข้ารหัสลับ ส่งผลให้แฮกเกอร์สามารถปลอมตัวในการเชื่อมต่อ HTTPS, การส่งเมลเข้ารหัส, และการเซ็นโค้ดจากผู้ผลิต ผลกระทบช่องโหว่นี้มีตั้งแต่ เว็บเซิร์ฟเวอร์หรือพรอกซี่ที่เข้ารหัส, การเชื่อมต่อระหว่าง Domain Controller, การส่งโค้ดอัพเดต, การเชื่อมต่อ VPN ช่องโหว่นี้เป็นช่องโหว่ในกระบวนการ Elliptic Curve เท่านั้นทาง NSA แนะนำถึงการตรวจสอบการโจมตีว่าหากมีการใช้พารามิเตอร์การเข้ารหัส ไม่ตรงกับ curve ที่ประกาศไว้ ก็น่าสงสัยว่าจะเป็นการโจมตี ตอนนี้แพตช์ออกมาแล้ว และทุกคนควรติดตั้งโดยเร็ว ที่มา - Defense.gov Topics: |
[ไม่ยืนยัน] Patch Tuesday เดือนนี้พบช่องโหว่มีช่องโหว่ร้ายแรงพิเศษ, NSA เป็นผู้พบ Posted: 14 Jan 2020 08:54 AM PST Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีแพตช์ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น ทาง NSA แถลงข่าวเกี่ยวกับช่องโหว่นี้ ระบุว่ามันเป็นช่องโหว่บน Windows 10 และ Windows Server 2016 และทาง NSA ค้นพบช่องโหว่นี้ด้วยตัวเอง โดยไมโครซอฟท์ยังไม่พบการโจมตีแต่อย่างใด ที่มา - Krebs on Security |
You are subscribed to email updates from Blognone - Windows. To stop receiving these emails, you may unsubscribe now. | Email delivery powered by Google |
Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States |
ไม่มีความคิดเห็น:
แสดงความคิดเห็น