1月15日消息，據(jù)外媒報道，兩名美國聯(lián)邦高級網(wǎng)絡(luò)安全官員證實，美國國家安全局(NSA)最近向微軟公司通報了一個Windows 10的重大安全漏洞，微軟最新版本的操作系統(tǒng)目前在企業(yè)內(nèi)部和消費者中被廣泛使用。

　　據(jù)悉，最新發(fā)現(xiàn)的漏洞影響了用于驗證內(nèi)容(包括軟件或文件)的數(shù)字簽名的加密。如果被利用，該漏洞可能會讓犯罪分子發(fā)送帶有虛假簽名的惡意內(nèi)容，使其看起來很安全。

　　網(wǎng)絡(luò)安全公司Tenable高級研究工程師薩特南·納朗(Satnam Narang)表示：“一般來說，像這樣的補(bǔ)丁應(yīng)該總是很重要的，但事實上，是NSA向微軟披露了這個漏洞，這讓它顯得更加重要。”

　　納朗還稱，攻擊者經(jīng)常會竊取安全證書，以便向受害者發(fā)送看似值得信任的惡意文件，但有了這個漏洞，攻擊者就可以簡單地偽造微軟證書，使這一過程變得容易得多。

　　目前還不清楚NSA在向微軟通報之前，已經(jīng)發(fā)現(xiàn)該漏洞多長時間。然而，NSA和微軟的這次合作與過去的互動有所不同。過去，該機(jī)構(gòu)通常會將這類重要漏洞保密，以便將它們用作美國技術(shù)庫的一部分。

　　NSA的網(wǎng)絡(luò)安全部門主管安妮·紐伯格(Anne Neuberger)說：““這是方法上的改變，以此作為建立信任的一部分。NSA的工作是努力向前看，然后努力真正分享數(shù)據(jù)，這是建立信任的一部分。”

　　網(wǎng)絡(luò)安全專業(yè)人士對此表示歡迎。計算機(jī)安全專家德米特里·阿爾佩羅維奇(Dmitri Alperovitch)在推文中說：“NSA自愿向微軟披露安全信息，這是非常值得稱贊的。我相信，這種漏洞是該機(jī)構(gòu)黑客以前最樂于利用的類型。”

　　微軟周二發(fā)布了修復(fù)該漏洞的補(bǔ)丁，該公司在聲明中拒絕證實或提供更多細(xì)節(jié)。聲明中稱：“我們遵循協(xié)調(diào)漏洞披露的原則，將其作為保護(hù)我們的客戶免受安全漏洞影響的行業(yè)最佳實踐。為了防止給客戶帶來不必要的風(fēng)險，安全研究人員和供應(yīng)商在更新可用之前不會討論報告中的漏洞細(xì)節(jié)。”

　　微軟高級主管杰夫·瓊斯(Jeff Jones)發(fā)表聲明說：“安全更新已于2020年1月14日發(fā)布，已經(jīng)應(yīng)用更新或啟用自動更新的客戶已經(jīng)受到保護(hù)。我們一如既往地鼓勵客戶盡快安裝所有安全更新。”不過微軟表示，該公司沒有看到任何利用該漏洞的跡象。

　　網(wǎng)絡(luò)安全公司Tenable的工程師納朗說：“我想強(qiáng)調(diào)的是，這個信息是在過去1個小時里剛剛發(fā)布，現(xiàn)在還相當(dāng)新鮮。從大局來看，這只是攻擊者工具箱里的另一個工具。”(騰訊科技審校/金鹿)