Сетевые источники сообщили, что в ближайшем патче Microsoft исправит чрезвычайно опасную уязвимость в Windows, которая затрагивает все выпущенные за последние 20 лет версии OC. Microsoft информацию не подтверждает. Однако в случае ее соответствия действительности, Windows 7, срок расширенной поддержки которой истек 14 января 2020 г., судя по всему, останется без исправлений.
«Дыра» двадцатилетней давности
В важном криптографическом компоненте Windows выявлена крайне опасная уязвимость, которая затрагивает все версии операционной системы Microsoft, выпущенные за последние 20 лет, пишет ресурс Krebsonsecurity, принадлежащий журналисту Брайану Кребсу (Brian Krebs), который специализируется на вопросах информационной безопасности.
По данным сайта, выпуск исправления запланирован на ближайший «патчевый вторник», то есть 14 января 2020 г., в день, когда завершается расширенная поддержка Windows 7. Однако организации, связанные с вооруженными силами США и прочие особо важные клиенты Microsoft, задействованные в управлении ключевой инфраструктурой интернета, якобы получили патчи заранее на условиях неразглашения деталей об уязвимости.
Ранее Уилл Дорман (Will Dormann), исследователь безопасности, известный по сотрудничеству координационным центром CERT (CERT-CC), опубликовал в Twitter сообщение, в котором посоветовал «уделить особое внимание своевременной установке предстоящих обновлений Windows», не объяснив, по какой именно причине.
Подробнее об уязвимости
Согласно информации, распространенной Krebsonsecurity, уязвимость касается динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI. Microsoft CryptoAPI позволяет разработчикам защищать ПО для Windows с использованием криптографических алгоритмов, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.
Критическая уязвимость в этом компоненте Windows может представлять угрозу безопасности для целого ряда важных функций Windows, включая функции аутентификации на персональных компьютерах и серверах под управлением Windows, защиты данных, обрабатываемых браузерами Internet Explorer/Edge, а также некоторыми сторонними приложениями и инструментами.
Неменьшую озабоченность вызывает и то, что уязвимость в библиотеке может использоваться для подмены цифровой подписи, привязанной к конкретному ПО. Этим может воспользоваться злоумышленник, выдав вредоносное ПО за легитимное, выпущенное и подписанное добросовестным разработчиком.
Как отмечает Krebsonsecurity, библиотека впервые появилась в Windows более 20 лет назад – еще в Windows NT 4.0, увидевшей свет в 1996 г. Таким образом, вероятно, все версии ОС семейства NT (включая Windows XP, поддержка которой также давно прекращена) под угрозой из-за уязвимости в crypt32.dll.
Реакция Microsoft
В Microsoft Krebsonsecurity пояснили, что не обсуждают детали обнаруженных уязвимостей до выхода соответствующих обновлений. В компании также опровергли сведения о том, что некоторые клиенты Microsoft могли получить и развернуть важные обновления раньше остальных. Несмотря на то, что участники программы Security Update Validation Program (SUVP) действительно могут получать доступ к предварительным версиям обновлений безопасности (примерно за три недели до общего релиза), по ее условиям им запрещено использовать исправления за пределами тестового окружения.
В пресс-службе российского представительства Microsoft информацию об уязвимости прокомментировали, ссылаясь на слова Джеффа Джонса (Jeff Jones), старшего директора Microsoft и специалиста по безопасности: «Мы следуем принципам скоординированного раскрытия уязвимостей (CVD) как лучшей отраслевой практики для защиты наших заказчиков от известных уязвимостей. Чтобы предотвратить ненужный риск для клиентов, исследователи и поставщики безопасности не обсуждают детали обнаруженных уязвимостей до того, как доступно обновление. Завтра в 10:00 по тихоокеанскому времени мы опубликуем обновления и техническую информацию за этот месяц в рамках нашего ежемесячного обновления безопасности во вторник».
На вопрос CNews о том, получит ли все еще весьма популярная Windows 7 исправления описанной выше уязвимости, в Microsoft указали на запись в официальном блоге Windows, посвященную окончанию поддержки Windows 7, где в частности говорится что, окончание поддержки для пользователя означает прекращение получения обновлений для Windows 7 и Office 2010, в том числе и патчей безопасности.