Ошибка в библиотеке криптографических функций CRYPT32.DLL в операционной системе Windows 10 может позволить злоумышленнику подписать исполняемый файл фальшивым криптографическим сертификатом. Таким образом, с точки зрения пользователя, файл будет выглядеть как поступивший из надежного источника. Ошибка описана в бюллетене Microsoft за номером CVE-2020-0601. Кроме Windows 10, уязвимыми являются системы Windows Server 2016 и Windows Server 2019. К моменту публикации сведений об ошибке в Microsoft уже подготовили исправление, которое входит в разосланный во вторник январский пакет обновлений.
Хотя в бюллетене Microsoft не говорится, кто именно обнаружил ошибку, газета Washington Post сообщает, что ее нашли в Агентстве национальной безопасности США, а затем передали информацию в Microsoft. АНБ тоже опубликовало бюллетень с сообщением об ошибке, в котором отмечается, что она может позволить злоумышленнику нарушить безопасность доверенных сетевых соединений по протоколу HTTPS и доставить по ним исполняемые файлы.
Уязвимость считается серьезной — воспользоваться ошибкой очень легко, и соответствующие средства у преступников появятся скоро, считают специалисты. Рекомендуется как можно скорее установить исправление.