不寻常的1月更新：NSA首次向微软报告Windows的严重安全漏洞

本月的补丁星期二注定是不平凡的，不仅是因为2020年首个累积更新活动，而是修复了存在于Windows系统中的严重安全漏洞，更为重要的是美国国家安全局（NSA）首次向微软发出警告，称在Windows系统中发现安全漏洞。这也是在NSA历史上首次向微软发出此类报告。

在以往的概念中，NSA往往会利用Windows系统中的漏洞来达到各种目的，绝对不会让微软知道哪些漏洞是有效的。不过在2020年的第1个月里，NSA似乎自愿报告了这个漏洞。这无疑是一件好事，新漏洞的代码名为CVE-2020-0601，简称为“NSACrypt”。

报道中称存在于Windows组件crypt32.dll中的安全漏洞非常严重，以至于Microsoft提前向政府安全服务发布了补丁。KrebsonSecurity表示：“多方消息源确认，微软公司定于本周二发布软件更新，以修复所有Windows版本中核心加密组件中的严重漏洞。目前相关补丁已经提前发给了美军分支机构、以及管理关键互联网基础设施的其他高价值客户/目标，而且这些组织被要求签署协议以阻止他们透露漏洞的细节。”

这个问题影响到NSA的Windows 10操作系统，在企业内部和消费者当中普遍存在。这个漏洞影响到用于验证软件或文件等内容的数字签名的加密技术。如果被犯罪分子利用，则这个漏洞能让其发送带有虚假签名的恶意内容，并使其看起来很安全。

目前还不清楚在提醒微软注意上述漏洞之前，美国国家安全局知道这个漏洞已有多久，但此次合作与该局和微软等主要软件开发商过去的互动有所不同。以往，美国国家安全局总会对一些主要漏洞做保密处理，以便将其用作美国技术库的一部分。

微软为此发表了一份声明，但拒绝证实或提供更多细节。声明称：“我们遵循协调披露漏洞的原则，将其作为保护客户免受安全漏洞影响的行业最佳实践。为了防止给客户带来不必要的风险，安全研究人员和供应商在更新可用之前不会讨论漏洞细节。”

微软高级主管杰夫·琼斯（Jeff Jones）周二发表声明称：“已经进行了更新或启用了自动更新功能的客户现已受到保护。一如既往，我们鼓励客户尽快安装所有安全更新。”微软还表示，该公司并未看到任何“在野外”环境中利用这个漏洞的行为，也就是并无在实验室测试环境之外的攻击行为。