Sin vana trogen släpper Microsoft även denna patch-tisdag en rad säkerhetsuppdateringar. Det som sticker ut denna gång är en sårbarhet i Windows valideringsfunktion för X509-certifikat som kan innebära att utvecklare av skadlig kod kan gå runt funktionen som kontrollerar att applikationer är signerade. Utvecklare av skadlig kod kan helt enkelt fejka en legitim signering av koden, skriver Ars Technica.

Sårbarheten gäller Windows 10, Windows Server 2016, Windows Server 2019 och Windows Server version 1803. Utöver kodsigneringsfunktionen öppnar sårbarheten även för mannen-i-mitten-attacker av https-sessioner och e-post. Microsoft väljer dock att klassa sårbarheten som ”important” och inte ”critical” eftersom inga attacker, än så länge, finns i det vilda.

En speciell detalj i sammanhanget är att sårbarheten upptäckts och rapporterats till Microsoft av den amerikanska säkerhetsmyndigheten NSA, och även NSA har publicerat en rådgivande artikel. Det är förstås inte ovanligt att utomstående rapporterar sårbarheter till Microsoft, tvärt om, men NSA är ju en organisation som själva utnyttjar sårbarheter för att utföra attacker, och den logiska följden borde vara att NSA behöll sårbarheten för sig själva.

På Twitter är diskussionen i full gång kring NSA:s motiv. NSA själva sade i en telefonkonferens med media att det är första gången de rapporterar en sårbarhet till en leverantör, efter noggrant övervägande, och att motivet är att bygga tillit. I vilket fall som helst är rekommendationen att uppdatera sina system så fort som möjligt.

Läs också:
Nu är SHA-1 ordentligt finito – enkelt skapa falska certifikat med billig rigg
Svaga nycklar i IoT-enheter knäcks på några dagar