microsoft修补了nsa发现的windows 10安全漏洞

美国国家安全局（NSA）发现并报告了微软在Windows中处理证书和加密消息功能时的一个安全漏洞，微软今天正在修补Windows各版本中的一个严重缺陷。该漏洞未被微软标记为严重漏洞，攻击者可利用该漏洞欺骗与软件相关的数字签名，使未签名和恶意代码伪装成合法软件。...

美国****局（NSA）发现并报告了微软在Windows中处理证书和加密消息功能时的一个安全漏洞，微软今天正在修补Windows各版本中的一个严重缺陷。该漏洞未被微软标记为严重漏洞，攻击者可利用该漏洞欺骗与软件相关的数字签名，使未签名和恶意代码伪装成合法软件。

对于依赖数字证书来验证机器运行的软件的环境来说，这个bug是一个问题，如果不进行修补，这将是一个潜在的影响深远的安全问题。美国****局最近向微软报告了这一缺陷，并建议企业立即对其进行修补，或优先考虑承载关键基础设施（如域控制器、VPN服务器或DNS服务器）的系统。安全记者布赖恩·克雷布斯（briankrebs）昨天首次披露了该漏洞的严重程度，并警告Windows桌面和服务器上的身份验证可能存在问题。

Microsoft现在正在修补Windows 10、Windows Server 2016和Windows Server 2019。该软件巨头表示，它没有看到在野外积极开发该漏洞，它已经将其标记为“重要”而不是它用于重大安全缺陷的最高“关键”级别。不过，这不是延迟修补的理由。恶意行为体将不可避免地反向设计修复程序以发现缺陷并在未调度的系统上使用它。

美国****局在自己的公告中警告说，这是一个主要的漏洞，尽管微软没有将其标记为严重漏洞。NSA的一份声明说：“该漏洞使Windows端点面临各种各样的攻击向量的风险。”。“美国****局（NSA）评估该漏洞是严重的，成熟的网络参与者将很快了解潜在的缺陷，如果被利用，将使前面提到的平台从根本上易受攻击。”

很少见，****局直接向微软报告这些类型的漏洞，但这不是**机构首次这样做。不过，这是NSA首次接受Microsoft对漏洞报告的属性。Krebs称，这是一项新的举措的一部分，旨在使该机构的研究向软件供应商和公众提供。

美国****局（NSA）前一次针对Windows文件共享协议的攻击，被称为EternalBlue，两年前泄露，造成广泛破坏。这导致了WannaCry勒索软件和其他变种锁定了从英国国家卫生局到俄罗斯内政部的电脑。微软被迫为windowsxp发布了一个紧急补丁，尽管该操作系统已经停止支持。

更新，美国东部时间1月14日下午2点：文章更新了****局的声明。