Microsoft выпустила патчи для найденной уязвимости в Windows CryptoAPI

На днях Microsoft сообщила о том, что процедура проверки x.509-сертификатов на базе ECC в Windows содержит в себе критическую уязвимость. Для всех поддерживаемых версий Windows были выпущены патчи.

Уязвимость была раскрыта 14 января. Она связана с Windows CryptoAPI и делает возможным создание поддельных TLS- и Code Signing-сертификатов.

Мы настоятельно рекомендуем немедленно установить патчи на все используемые вами системы с Windows. Набор обновлений безопасности доступен по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601.

Microsoft рекомендует обновиться как можно быстрее пользователям с Windows 10, Windows Server 2016 и Windows Server 2019.

Что делать клиентам с уже имеющимися SSL-сертификатами

Обращаем ваше внимание на то, что уязвимость никоим образом не влияет на уже имеющиеся у вас сертификаты, вне зависимости от этого, используют ли они алгоритм кодирования ECC или нет.

Вам НЕ НУЖНО перевыпускать ваши Code Signing и/или TLS-сертификаты. Вам НЕ НУЖНО отказываться от использования алгоритма ECC (если вы его используете).

Подписывайтесь на наши обновления, чтобы быть в курсе всех свежих новостей из мира SSL.