补丁Windows 10和服务器现在 因为证书验证被打破

微软为Windows安排的安全更新包括修复一个潜在的危险错误，允许攻击者欺骗一个证书，使它看起来像是来自受信任的来源。该漏洞由安全局向微软报告，影响Windows10、Windows Server2016、Windows Server2019和Windows Server1803版本。

微软将此次更新评为“重要”而非“关键”。但在一篇博客文章中，微软安全响应中心（Micros of t Security Response Center）首席安全程序经理梅切尔·格鲁恩（Mechele Gruhn）解释说，这是因为“我们没有看到它被用于主动攻击。”

然而，微软以外的研究人员——包括谷歌的塔维斯·奥曼迪（Tavis Ormandy）——对漏洞的评估要糟糕得多，并敦促用户在活跃的漏洞出现之前迅速修补漏洞。

会确认所有的X。509验证失败，不仅仅是代码签名。好吧，我又回到炒作的火车上了，这太糟糕了。https://t.co/6rBV1lu4Yk

——塔维斯·奥曼迪（@tavis o）2020年1月14日

漏洞在验证X的Windows密码库的组件中。509个证书，不知何故绕过了用于验证证书的信任链。微软关于该漏洞的咨询称，该漏洞可能被用来伪造恶意版本的应用程序的软件签名证书，使其看起来像是来自受信任的开发人员。然而，风险不仅仅是代码签名。安全局的一项咨询指出，该漏洞可用于针对安全HTTP（HT TPS）连接的中间人攻击，以及欺骗签名文件和电子邮件。

只要不使用Windows的证书验证，就有可能对使用检查TLS流量的网络设备的欺骗证书进行网络级保护。但安全局警告说，“快速采用补丁是目前唯一已知的缓解措施，应该是所有网络所有者的首要关注点。”

当然，还有很多其他更紧迫的事情，我们知道-就像所有的Citrix和脉冲安全VPN，还没有修复。

现在回到那些数百个未补丁的政府SSLVP N盒，这些盒子正在被积极地利用，并将您放在网络中，并给您有效的凭据。