Windows: aggiornare subito, patch per la vulnerabilità di CryptoAPI

Aggiornare Windows: c'è la patch per CryptoAPI

In fase di distribuzione l'aggiornamento destinato a Windows che risolve la grave vulnerabilità riscontrata all'interno della componente CryptoAPI.
Aggiornare Windows: c'è la patch per CryptoAPI
In fase di distribuzione l'aggiornamento destinato a Windows che risolve la grave vulnerabilità riscontrata all'interno della componente CryptoAPI.

Come previsto nella giornata di ieri, Microsoft ha dato il via al rilascio di un aggiornamento per tutte le versioni di Windows in circolazione il cui obiettivo è quello di porre rimedio a una grave vulnerabilità individuata all’interno della componente crypt32.dll. Il problema, etichettato come CVE-2020-0601, viene così descritto dal gruppo di Redmond.

Esiste una vulnerabilità legata allo spoofing che permette alla componente CryptoAPI (crypt32.dll) di validare certificati Elliptic Curve Cryptography (ECC).

Windows: arriva update per la vulnerabilità di crypt32.dll

Forzando la falla un malintenzionato potrebbe attribuire a un malware una firma digitale tale da renderne la vera natura invisibile ai radar dei software per la sicurezza così come agli occhi degli utenti. Verrebbero in tal modo messe a rischio le informazioni salvate nei dispositivi, dai dati sensibili ai documenti, fino alle credenziali per l’autenticazione ai servizi e i dettagli sui metodi di pagamento.

L’autore di un attacco potrebbe sfruttare la vulnerabilità utilizzando l’assegnazione di un certificato a del codice maligno, facendo apparire il file come creato da una fonte legittima. L’utente non avrebbe così modo di conoscere la sua natura pericolosa poiché la firma digitale apparirebbe come attribuita a un fornitore affidabile.

L'update rilasciato da Microsoft per i sistemi Windows

La vulnerabilità di CryptoAPI mostra il fianco anche ad attacchi man-in-the-middle ovvero quelli attuati al fine di intercettare la informazioni ricevute o trasmesse dall’utente.

Come anticipato ieri, a scoprire il problema è stata la National Security Agency statunitense, che immediatamente l’ha segnalato a Microsoft concedendo alla software house il tempo necessario per confezionare l’update e avviarne la distribuzione. Ulteriori dettagli nel documento condiviso dall’agenzia. Il consiglio è quello di procedere al download e all’installazione dell’aggiornamento (al termine del processo è necessario un riavvio) non appena possibile.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
15 gen 2020
Link copiato negli appunti