MS의 설명 https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2020-0601
Windows CryptoAPI(Crypt32.dll)가 ECC(타원 곡선 암호화) 인증서의 유효성을 검사하는 방식에 스푸핑 취약성이 존재합니다.
공격자가 스푸핑한 코드 서명 인증서를 이용하여 악성의 실행 파일에 서명하여 파일이 신뢰할 수 있는 합법적인 소스로 보이도록 하여 이 취약성을 악용할 수 있습니다. 디지털 서명이 신뢰할 수 있는 제공자에 의해 제공된 것처럼 보이기 때문에 사용자는 파일이 악성인지 알 수 없습니다.
성공적으로 악용하면 공격자가 가로채기(man-in-the-middle) 공격을 수행하고 영향을 받는 소프트웨어와의 사용자 연결에 관한 기밀 정보를 해독할 수도 있습니다.
이 보안 업데이트는 Windows CryptoAPI가 ECC 인증서의 유효성을 완전히 검사하도록 하여 취약성을 해결합니다.
어떤 원리인지에 대한 간단한 설명(영어)
아까 새벽에 윈10 업뎃하라고 뜨던데 이건가보네요. 저런 거 안 받고 방치하다가 랜섬웨어로 훅 갑니다.
NSA가 보안패치를 적극적으로 받으라고 한다 일반적인 인식 ' 웃기지마!. 니들이 저 패치안에 검사되지 않는 감시툴을 설치해놨지??' 현실적인 내용 '그런 취약점 따위는 안써도 네 컴은 이미 내 것이다.'
오해하는데 nsa는 백도어로 털지 않음... 걍 모든 패킷을 감청할 뿐임..
남이하면 해킹 내가하면 안보
간단한 설명은 대체,..
아까 새벽에 윈10 업뎃하라고 뜨던데 이건가보네요. 저런 거 안 받고 방치하다가 랜섬웨어로 훅 갑니다.
간단한 설명은 대체,..
굶지마
이친구들은 그런거 이번에 안 넣어도 이미 실컷 할수 있는 놈들입니다
NSA가 보안패치를 적극적으로 받으라고 한다 일반적인 인식 ' 웃기지마!. 니들이 저 패치안에 검사되지 않는 감시툴을 설치해놨지??' 현실적인 내용 '그런 취약점 따위는 안써도 네 컴은 이미 내 것이다.'
雪風 Maive
남이하면 해킹 내가하면 안보
NSA야 어디든 프리패스 일텐데 ㅋㅋ 미국산 제품에는 NSA 백도어가 100% 있다고 봐야
anotherW
오해하는데 nsa는 백도어로 털지 않음... 걍 모든 패킷을 감청할 뿐임..
지구 최고의 해킹 전문가(?)들이니만큼 오히려 신뢰성이 높은 정보 아님?