首个NSA公开披露的软件系统漏洞——CVE-2020-0601数字证书验证漏洞分析与实验
2020年1月15日,微软公布了1月份的补丁更新列表,其中包括有CVE-2020-0601,是Windows操作系统CryptoAPI (Crypt32.dll)的椭圆曲线密码(Elliptic Curve Cryptography, ECC)数字证书验证相关的漏洞;该漏洞会导致Windows操作系统将攻击者伪造的数字证书误判为由操作系统预置信任的根CA所签发。该漏洞由美国国家安全局(National Security Agency, NSA)发现并汇报给微软公司;这一漏洞被认为是第一个NSA公开披露的软件系统漏洞。 Continue reading