Krytyczna luka bezpieczeństwa została odkryta w systemie kryptograficznym systemu operacyjnego Windows. Atakujący mogą jej użyć do sfałszowana certyfikatów bezpieczeństwa i przejęcia komunikacji bądź sfałszowania cyfrowych podpisów oprogramowania i przemycenia malware.
Krytyczna luka bezpieczeństwa znajduje się w pliku crypt32.dll, integralnej części systemu CryptoAPI, który jest używane przez aplikacje systemowe i oprogramowanie użytkowe do obsługi certyfikatów oraz szyfrowania komunikacji.
Błąd jest tak poważny, że w USA powstawania i dystrybucji łat dogląda agencja NSA, czyli National Security Agency. Microsoft dostarczył już odpowiednie łatki ośrodkom militarnym, agencjom rządowym i najważniejszym partnerom biznesowym. Szczegóły luki utrzymywane są w ścisłej tajemnicy, a instytucje które otrzymały aktualizacje musiały podpisać umowy NDA zabraniające udzielania jakichkolwiek informacji.
Ma to zminimalizować niebezpieczeństwo wykorzystania luki przez przestępców – im mniej wiadomo na temat błędu, tym trudniej będzie hakerom go odnaleźć i zastosować w kampaniach rozsiewania złośliwego oprogramowania.
Krytyczna luka bezpieczeństwa w Windows 7 nie zostanie załatana
NSA zapowiedziała konferencję, na której zaraportowane zostaną postępy w usuwaniu błędu w systemie Windows. Krytyczna luka bezpieczeństwa w Windows jest natomiast tematem zakazanym dla Microsoft: korporacja zapowiedziała, że nie powie na jej temat nawet słowa, dopóki użytkownicy nie dostaną i nie zaimplementują w swoich maszynach stosowanych poprawek.
W złej sytuacji są właściciel komputerów pracujących pod kontrolą Windows 7. Wsparcie techniczne dla tego wciąż popularnego systemu zakończyło się 14 stycznia 2020 roku i wygląda na to, że Microsoft nie zamierza robić wyjątku i poprawki na ten system nie zostaną wydane.
Wyjątkiem będą partycypanci programie ESU (Extended Security Updates). Mogą w nim odpłatnie uczestniczyć duże przedsiębiorstwa, użytkownicy indywidualni i małe biznesy stają przed ciężki wyborem: mogą albo ryzykować korzystanie z systemu, który nie zapewnia podstawowego bezpieczeństwa, bądź zmigrować do Windows 10.
Na tę drugą ewentualność liczy zapewne Microsoft. Korporacji zależy na przekonaniu jak największej liczby użytkowników do Windows 10 i duża popularność Windows 7 (z systemu korzysta wciąż znaczna część komputerów na świecie); niezałatana krytyczna luka bezpieczeństwa może być poważnym argumentem za porzuceniem systemu.
