Комментарии 16
Для windows 7 исправление будет? Иначе тот факт, что об уязвимости заявили через день после окончания официального срока её поддержки выглядит двусмысленно.
0
via portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601#ID0EGB
Are versions older than Windows 10 versions affected by this vulnerability?
No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected.
Are versions older than Windows 10 versions affected by this vulnerability?
No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected.
+3
Так я не понимаю, в чём смысл уязвимости-то? Позволяет ставить левые драйвера? Я драйвера никакие не ставлю. Позволяет по https заходить на левые вебсайты? Я IE не пользуюсь. Чем оно мне угрожает-то?
0
НЛО прилетело и опубликовало эту надпись здесь
"What Saleem just demonstrated is: with [a short] script you can generate a cert for any website, and it's fully trusted on IE and Edge with just the default settings for Windows," Kenn White, a researcher and security principal at MongoDB, said. "That's fairly horrifying. It affects VPN gateways, VoIP, basically anything that uses network communications."
Так ещё раз — если IE/Edge и прочие стандартные виндовые приблуды не используются, то где опасность?
0
НЛО прилетело и опубликовало эту надпись здесь
Огнелис сказал, что
An error occurred during a connection to chainoffools.kudelskisecurity.com. security library: improperly formatted DER-encoded message.
Так что всё путём, живём дальше. А кто использует IE и Edge — это не ко мне, это к психиатру :)
-3
Полагаю, позволяет подсунуть левые апдейты через спуфинг адреса сервера обновлений и подписи самих обновлений.
0
А Хром свои либы использует или системные?
0
И самое интересное, что на таких системах крутится гостайна, и ФСТЭК официально выдает всякие сертификаты и разрешения на использование криптографии…
-1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Криптографический баг Windows продемонстрировали в симуляции атаки