Microsoft Corp. lanzará una actualización de software el martes para corregir una vulnerabilidad de seguridad extraordinariamente grave en un componente criptográfico central presente en todas las versiones de Windows
Esas fuentes dicen que Microsoft ha enviado silenciosamente un parche para el error a las ramas del ejército de los EE. UU. Y a otros clientes / objetivos de alto valor que administran la infraestructura clave de Internet, y que a esas organizaciones se les ha pedido que firmen acuerdos que les impiden revelar detalles del falla antes del 14 de enero, el primer parche martes de 2020.
Según las fuentes, la vulnerabilidad en cuestión reside en un componente de Windows conocido como crypt32.dll , un módulo de Windows que Microsoft dice que maneja "funciones de certificado y mensajería criptográfica en CryptoAPI". Microsoft CryptoAPI proporciona servicios que permiten a los desarrolladores proteger Windows aplicaciones que usan criptografía e incluye funcionalidad para encriptar y desencriptar datos usando certificados digitales.
Una vulnerabilidad crítica en este componente de Windows podría tener implicaciones de seguridad de gran alcance para una serie de funciones importantes de Windows, incluida la autenticación en los escritorios y servidores de Windows, la protección de datos confidenciales manejados por los navegadores Internet Explorer / Edge de Microsoft, así como una serie de Aplicaciones y herramientas de terceros.
Igualmente preocupante, una falla en crypt32.dll también puede ser abusada para falsificar la firma digital vinculada a una pieza específica de software . Los atacantes podrían aprovechar esa debilidad para hacer que el malware parezca un programa benigno producido y firmado por una compañía de software legítima.
Este componente se introdujo en Windows hace más de 20 años, en Windows NT 4.0 . En consecuencia, es probable que todas las versiones de Windows se vean afectadas (incluido Windows XP, que ya no es compatible con parches de Microsoft).
Microsoft aún no ha respondido a las solicitudes de comentarios. Sin embargo, KrebsOnSecurity ha escuchado rumores de varias fuentes en las últimas 48 horas que este martes de parche (mañana) incluirá una actualización increíble que todas las organizaciones que ejecutan Windows deberán abordar de inmediato.
Fecha actualización el 2021-01-14. Fecha publicación el 2020-01-14. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: krebsonsecurity. Version movil