IT業界資訊媒體

【漏洞公開定收埋?】要美國NSA特務組織先評分?

Microsoft 已經停止支援 Windows 7,搞到唔少用家都趕喺最後機會免費升上 Windows 10。不過,Windows 10 都唔係安全好多,因為剛啱又俾人發現,系統內其中一個用咗十幾年嘅 CryptoAPI 存有漏洞,可以俾黑客利用嚟假扮已獲數碼簽證嘅軟件,繞過電腦嘅網絡防護功能,從而喺目標電腦上安裝惡意程式。如果大家仲記得,上年 ASUS 就因為俾黑客偷咗數碼證書,令黑客可以將有毒嘅更新檔放上 ASUS 自動更新軟件褲,再推送出去俾過百萬用家。另外,亦有大學專家漏洞可被利用嚟攔截及修改 HTTPS 嘅通訊,將受害者引導去虛假網站偷取資料,影響力非常之大。

不過,升級上 Windows 10 始終有保障,因為 Microsoft 知道有漏洞後就會盡快作出修補,咁就可以大大減低被攻擊嘅風險同埋減低漏洞嘅破壞力,但前提係 Microsoft 首先要知道有呢個漏洞先得喎,因為除咗黑客未必會上報外,就連美國政府安全組織 National Security Agency(NSA),都會經過一輪評估先決定通唔通知涉事公司,例如兩年前爆發嘅 WannaCry 勒索軟件,就被認為係 NSA 唔通知 Microsoft 有名為 EternalBlue  嘅視窗系統漏洞存在,但佢哋選擇唔出聲,暗中通過漏洞嚟監視目標人物,之後先至搞到 WannaCry 有咁大破壞力,鎖死咗數以千計嘅電腦。

根據傳媒報導,NSA 曾承認一旦組織發現漏洞,會先進行內部評估,睇吓呢個漏洞究竟應該留番俾政府用嚟打擊敵人,抑或通知相關公司去堵塞。雖然無透露評分標準,但諗吓都知,只要受影響範圍愈大而又愈隱閉,NSA 應該都會收埋嚟用,方便自己監視敵人。而今次漏洞嘅嚴重性只係被 Microsoft 評級為「important」,咪可能因為咁先會公開囉。Microsoft 方面確認暫時見唔到有人利用呢個漏洞發動攻擊,但就建議大家盡快升級 Windows 10 系統喇。

資料來源:https://tcrn.ch/3adRQx8

相關文章:【特赦犯案黑客】法官話:正面有太多貢獻

 

Privacy Preference Center