Эксперты настоятельно рекомендуют пользователям операционной системы Windows установить последние обновления. Как оказалось, в системе обнаружена уязвимость в системе безопасности, которая может привести к утечкам данных с компьютеров пользователей по всему миру.
По сообщениям сетевых источников, сегодня корпорация Microsoft выпустит обновление безопасности, которое устраняет серьёзную уязвимость в криптографическом компоненте ядра, затрагивающую все версии программной платформы Windows.
Согласно информации, распространенной компанией Krebsonsecurity, принадлежащий журналисту Брайану Кребсу (Brian Krebs), который специализируется на вопросах информационной безопасности, уязвимость касается динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI. Microsoft CryptoAPI позволяет разработчикам защищать ПО для Windows с использованием криптографических алгоритмов, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.
Обнаруженная уязвимость представляет серьёзную угрозу безопасности для некоторых важных функций операционной системы, включая проверку подлинности в процессе аутентификации на компьютерах и серверах, защиту конфиденциальных данных в браузерах Internet Explorer и Edge и др. Кроме того, уязвимость может использоваться злоумышленниками для подделки цифровых подписей, связанных с определённым программным обеспечением.
Источник отмечает, что компонент crypt32.dll появился в Windows более 20 лет назад. Это означает, что уязвимость затрагивает все появившиеся за этот период операционные системы Microsoft, включая Windows XP, поддержка которой была прекращена несколько лет назад.
Источник говорит о том, что обновление для операционных систем Windows уже было доставлено американским военным подразделениям, крупным корпорациям и другим ценным клиентам, которые осуществляют управление ключевой инфраструктурой страны. Организациям и ведомствам, получившим данное обновление, было предложено заключить договорённость о неразглашении деталей касательно упомянутой уязвимости до 15 января.
В Microsoft специалистам из Krebsonsecurity пояснили, что не обсуждают детали обнаруженных уязвимостей до выхода соответствующих обновлений. В компании также опровергли сведения о том, что некоторые клиенты Microsoft могли получить и развернуть важные обновления раньше остальных. Несмотря на то, что участники программы Security Update Validation Program (SUVP) действительно могут получать доступ к предварительным версиям обновлений безопасности (примерно за три недели до общего релиза), по её условиям им запрещено использовать исправления за пределами тестового окружения.
В пресс-службе российского представительства Microsoft информацию об уязвимости прокомментировали, ссылаясь на слова Джеффа Джонса (Jeff Jones), старшего директора Microsoft и специалиста по безопасности:
«Мы следуем принципам скоординированного раскрытия уязвимостей (CVD) как лучшей отраслевой практики для защиты наших заказчиков от известных уязвимостей. Чтобы предотвратить ненужный риск для клиентов, исследователи и поставщики безопасности не обсуждают детали обнаруженных уязвимостей до того, как доступно обновление. 15 января в 10:00 по тихоокеанскому времени мы опубликуем обновления и техническую информацию за этот месяц в рамках нашего ежемесячного обновления безопасности».