日前有報(bào)道稱美國國家安全局NSA向微軟報(bào)告了一個(gè)漏洞，編號CVE-2020-0601，影響Windows 10所有版本，這還是NSA首次向微軟報(bào)告漏洞而不是將漏洞武器化。

對于這個(gè)漏洞的危害，部分媒體報(bào)道稱這是非常嚴(yán)重的漏洞，或者說是超級漏洞，但是微軟內(nèi)部人士表示這是媒體的夸大而已，指責(zé)部分媒體不負(fù)責(zé)任、選擇性報(bào)道、惡意揣測的內(nèi)容，這個(gè)漏洞并沒有報(bào)道中的那么嚴(yán)重。

根據(jù)微軟的介紹，CVE-2020-0601漏洞位于Windows CryptoAPI(Crypt32.dll)驗(yàn)證橢圓曲線加密算法證書的方式，可能影響信任的一些實(shí)例包括（不限于）：HTTPS連接、文件簽名和電子郵件簽名、以用戶模式啟動的簽名可執(zhí)行程序。

此外，該漏洞可以讓攻擊者偽造代碼簽名證書對惡意可執(zhí)行文件進(jìn)行簽名，使文件看似來自可信的來源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書，從而促使用戶安裝。中間人攻擊并解密用戶連接到受影響軟件的機(jī)密信息也是主要的攻擊場景之一。

CVE-2020-0601漏洞會影響Windows 10、Windows Server 2016/2019以及依賴于Windows CryptoAPI的應(yīng)用程序，但Windows 7、Windows Server 2008 R2不受影響。

目前這個(gè)漏洞已經(jīng)修復(fù)了，升級系統(tǒng)即可，暫時(shí)還沒有發(fā)現(xiàn)利用這個(gè)漏洞的攻擊方式。

PS：如果這個(gè)漏洞真的如部分媒體說的那么重要，NSA大概率是不會公開的，更別說報(bào)告給微軟修復(fù)。