La Agencia de Seguridad Nacional de EE.UU. descubrió y reportó una vulnerabilidad en Windows 10, aunque se desconoce si sacó provecho de la misma.
De un modo silencioso, Microsoft ha liberado una actualización para resolver una seria vulnerabilidad que afecta a cientos a millones de computadores con Windows 10 y versiones anteriores. El fallo se encuentra en el componente CryptoAPI (Crypt32.dll), encargado de validar los certificados ECC.
El fallo fue descubierto por la Agencia de Seguridad Nacional de EE.UU. (NSA), en la cual su directora Anne Neuberger, llevó a cabo una teleconferencia con los medios en la que se informó de esta vulnerabilidad y la solución que será ofrecida por medio de un parche de seguridad disponible a partir de hoy.

La descripción oficial indica que un atacante podría aprovechar la vulnerabilidad para firmar un ejecutable con código malicioso y hacerlo pasar como si viniera de una fuente legítima. El usuario no tendría forma de saberlo, ya que la firma digital parecería ser de un proveedor confiable.
Es la primera vez que la NSA es acreditada por reportar un fallo de seguridadDe acuerdo con Neuberger, la NSA notificó a Microsoft de este fallo, por lo que es la primera vez que se acreditará a la agencia de seguridad por informar de una falla de seguridad. Los investigadores de la dependencia gubernamental descubrieron la vulnerabilidad y que a la fecha no hay reportes de que haya sido aprovechada.
KrebsonSecurity reporta que este componente se liberó por primera vez en Windows NT 4.0, por lo que …