在一群个人电脑处理器中喊'火'的危险
我们再次看到相同的戏剧发挥作用。Microsoft发布了一个安全补丁和可怕警告从每个角落出现。当您的本地新闻广播告诉您现在更好的修补窗口时......,应以更高的温带建议为准。
两周前,在周二的补丁上,微软发布了一个被称为CVE-2020-0601的安全漏洞的补丁 - Crypt32.dll漏洞也称为ChainOffools或曲线球。
克拉克斯尖叫着。首先,即使是美国国家安全机构也进入该法案,首先通过对安全洞的成因进行前所未有的索赔,然后通过发布第一个NSA网络安全咨询(PDF)警告人们来躲避和掩护:
NSA建议尽快安装1月2020年1月20日修补周二修补程序,以有效地减轻所有Windows 10和Windows Server 2016/2019系统上的漏洞。
当然,世界上每个新闻出口都挑选起来。什么新闻编辑可以避免呼应NSA发表,即使它涉及椭圆曲线加密证书,无论如何?我儿子的早期九岁的朋友问我是否安装了补丁 - 然后骂我(以最好的方式)嘲笑。
NSA评估了严重的脆弱性,并且复杂的网络演员将非常快速地了解潜在的缺陷,如果被剥削,则将前面提到的平台呈现出基本上脆弱的。没有修补脆弱性的后果严重和普遍。远程剥削工具可能会迅速和广泛地提供。
要公平,微软并没有占用NSA的天空是下降的日常生活。CVE-2020-0601警告现在说,正如它所说,这是一个不公开披露的,没有被剥削的漏洞,并不是“重要”(低于“关键”)严重程度。
从推荐您删除所有内容并获得安装的修补程序修补程序,这并没有阻止骗局或权限。
这几乎不是孤立的事件:
9月23日,微软发布了一个带外的“关键”安全更新,用于Internet Explorer的JScript引擎,CVE-2019-1367,以及严厉的警告,每个人都需要立即修补。这开始了四个单独的修补程序的快乐链,同样的问题,每个都有其独特的错误。我们从未见过CVE-2019-1367感染的主要爆发。修补周二,9月17日,微软发布了两个“被开发的”零洞的修补程序,被确定为CVE-2019-1214和CVE-2019-1215。安全性人士绊倒了,坚持认为,正常的用户需要立即播放的两种补丁。如果没有公告或粉丝,9月11日或9月初的某个时间。12,微软简单地切换了“被剥削的:是的“”到“剥削:不。”很少有人注意到。去年8月,微软释放了四个单独识别的修复,但类似的“令人讨厌”的安全孔,作为dejablue统称。在一天内,我们开始看到Visual Basic,VBA和VBScript中的主要错误的报告。拒绝修补程序打破了VB变体。是什么,你从未听说过野外的dejablue攻击?跟你开玩笑。这只是过去五个月。返回更远,你看到相同的模式重复:补丁已释放。安全人士哭“狼!”知识渊博的专家阐述了。新闻网点,行业博客圈,流行的杂志,当地电视新闻卡车和您的汽车机械师的姐夫鹦鹉战斗哭泣。应用补丁的人们在繁殖中刺激......没有出现任何重大攻击。
也就是说,肯定有合法的“修补”哭泣。Microsoft远程桌面中的蓝色安全漏洞在2019年5月发布的CVE-2019-0708中修复。该补丁修复了11月在野外终于在野外剥削(但不是非常成功)的漏洞。他们的爸爸全部,Wannacry,于2017年5月开始蔓延(谢谢NSA),尽管它在3月份被MS17-010修补了。
从30,000英尺看,重复行为似乎是令人闻意的 - 这引用了一遍又一遍地做同样的事情并期待不同的结果吗?但它掩盖了两个非常重要,有害的后果的哭泣“狼!”
1.很多人都会踩到申请越野车补丁。我知道你们中的一些人觉得微软的Windows修补的质量非常好,而且它变得更好。在我的脑海里,最近的观察结果不支持结论。看看这个持续的坏补丁清单及其后果,回到了两年半。
2.当他们分心,这些组织在被这些嚎叫分心时拆除了重要洞。因此,首席执行官或CIO或CFO或其他事务人员听到了一个可怕的新安全漏洞,并且负责修补的人员首先愤怒地修复了高调问题。哎呀如果NSA或美国国土安全问题发出警报,它必须是一个大,怪异的问题,对吧?好吧,没有。在过去的几周内,一些组织已经回应了被感知的威胁,让ChainOffools /曲线安全漏洞插入,当时他们的时间将更好地花在更重要的贴片上,即,Citrix网络应用程序和脉冲安全VPN,
天空堕落的组织有自己的优先事项,他们自己的箱子击败,他们自己的产品兜售。对他们来说有什么好处对你不一定。