• Home
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
  • La NSA trova un'importante falla di sicurezza in Windows 10, correzione gratuita rilasciata

    Questo 7 agosto 2017, il file mostra un segno di Microsoft Widows in mostra in un negozio a Hialeah, Fla. La National Security Agency ha scoperto una grave falla di sicurezza nel sistema operativo Windows di Microsoft. Microsoft afferma che la NSA ha informato la società al riguardo. Una correzione è stata resa disponibile martedì, 14 gennaio 2020. (Foto AP/Alan Diaz)

    La National Security Agency ha scoperto un grave difetto di sicurezza nel sistema operativo Windows 10 di Microsoft che potrebbe consentire agli hacker di intercettare comunicazioni apparentemente sicure.

    Ma piuttosto che sfruttare la falla per i propri bisogni di intelligence, la NSA ha informato Microsoft in modo che possa riparare il sistema per tutti.

    Microsoft ha rilasciato una patch software gratuita per correggere il difetto martedì e ha accreditato l'agenzia per averlo scoperto. La società ha affermato di non aver visto alcuna prova che gli hacker abbiano utilizzato la tecnica scoperta dalla NSA.

    Amit Yoran, CEO della società di sicurezza Tenable, ha affermato che è "eccezionalmente raro se non senza precedenti" che il governo degli Stati Uniti condivida la scoperta di una vulnerabilità così critica con un'azienda.

    Yoran, che era uno dei direttori fondatori della squadra di pronto intervento per le emergenze informatiche del Dipartimento della sicurezza interna, ha esortato tutte le organizzazioni a dare priorità all'applicazione rapida di patch ai propri sistemi.

    Un avviso inviato dalla NSA martedì ha affermato che "le conseguenze della mancata correzione della vulnerabilità sono gravi e diffuse".

    Microsoft ha affermato che un utente malintenzionato potrebbe sfruttare la vulnerabilità falsificando un certificato di firma del codice in modo che sembri che un file provenga da una fonte attendibile.

    "L'utente non avrebbe modo di sapere che il file è dannoso, perché la firma digitale sembrerebbe provenire da un fornitore di fiducia, " ha detto la società.

    Se sfruttato con successo, un utente malintenzionato sarebbe stato in grado di condurre "attacchi man-in-the-middle" e decrittografare informazioni riservate sulle connessioni degli utenti, ha detto la società.

    Alcuni computer riceveranno automaticamente la correzione se hanno l'opzione di aggiornamento automatico attivata. Altri possono ottenerlo manualmente andando su Windows Update nelle impostazioni del computer.

    Microsoft rilascia in genere la sicurezza e altri aggiornamenti una volta al mese e ha aspettato fino a martedì per rivelare il difetto e il coinvolgimento della NSA. Sia Microsoft che la NSA hanno rifiutato di dire quando l'agenzia ha informato la società.

    L'agenzia ha condiviso la vulnerabilità con Microsoft "in modo rapido e responsabile, "Neal Ziring, direttore tecnico della direzione della sicurezza informatica della NSA, ha detto in un post sul blog martedì.

    Priscilla Moriuchi, che si è ritirato dalla NSA nel 2017 dopo aver gestito le sue operazioni nell'Asia orientale e nel Pacifico, detto questo è un buon esempio del "ruolo costruttivo" che l'NSA può svolgere nel migliorare la sicurezza informatica globale. Moriuchi, ora analista presso la società di sicurezza informatica statunitense Recorded Future, ha affermato che è probabilmente un riflesso delle modifiche apportate nel 2017 al modo in cui gli Stati Uniti determinano se rivelare una vulnerabilità importante o sfruttarla per scopi di intelligence.

    Il rinnovamento di quello che è noto come il "Processo per le azioni di vulnerabilità" ha posto maggiore enfasi sulla divulgazione di vulnerabilità prive di patch, quando possibile, per proteggere i principali sistemi Internet, l'economia e il pubblico degli Stati Uniti.

    Questi cambiamenti sono avvenuti dopo che un gruppo che si fa chiamare "Shadow Brokers" ha rilasciato una serie di strumenti di hacking di alto livello rubati dalla NSA.

    © 2020 The Associated Press. Tutti i diritti riservati.




    © Scienza https://it.scienceaq.com