微軟Windows 10操作系統(tǒng)。

近日，美國(guó)國(guó)家安全局（NSA）檢測(cè)到微軟Windows 10操作系統(tǒng)上的一個(gè)漏洞，并向微軟發(fā)出了警告。微軟于1月14日發(fā)布了一個(gè)補(bǔ)丁對(duì)其進(jìn)行修復(fù)。

這是美國(guó)國(guó)家安全局第一次發(fā)現(xiàn)漏洞后通知企業(yè)并公開(kāi)處理，過(guò)往的做法是密而不發(fā)，利用漏洞研發(fā)黑客工具。對(duì)此，微軟曾于2017年對(duì)美國(guó)國(guó)安局進(jìn)行公開(kāi)譴責(zé)。

據(jù)華爾街日?qǐng)?bào)1月14日?qǐng)?bào)道，此次發(fā)現(xiàn)的Windows漏洞，可能會(huì)被黑客利用以破壞、監(jiān)視或干擾目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)。它利用了微軟使用數(shù)字簽名驗(yàn)證軟件的真實(shí)性，以阻止惡意軟件被安裝到計(jì)算機(jī)上的設(shè)置，但該漏洞可能會(huì)允許黑客在系統(tǒng)檢測(cè)不出來(lái)的情況下安裝更強(qiáng)大的惡意軟件。

美國(guó)政府官員將該漏洞描述為特別嚴(yán)重，并表示微軟用戶(hù)應(yīng)該立刻升級(jí)系統(tǒng)將其修復(fù)。當(dāng)天，美國(guó)國(guó)家安全局新成立的網(wǎng)絡(luò)安全組組長(zhǎng)Anne Neuberger表示：“我們建議網(wǎng)絡(luò)所有者立即發(fā)布補(bǔ)丁?！睋?jù)她透露，美國(guó)國(guó)家安全局發(fā)現(xiàn)這個(gè)漏洞后立即通知了微軟。

微軟和美國(guó)國(guó)家安全局均表示，他們尚未找到證據(jù)證明該漏洞已被用于惡意目的。

美國(guó)國(guó)土安全部（DHS）1月14日同樣發(fā)布了一項(xiàng)緊急指令，指示美國(guó)聯(lián)邦機(jī)構(gòu)采取一系列步驟，立即在系統(tǒng)上安裝補(bǔ)丁。美國(guó)國(guó)土安全部網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局高級(jí)官員Bryan Ware表示，他們會(huì)與私營(yíng)行業(yè)合作伙伴聯(lián)系，警告漏洞帶來(lái)的風(fēng)險(xiǎn)。

微軟高級(jí)主管Jeff Jones在一份聲明中稱(chēng)：“一個(gè)安全升級(jí)已于2020年1月14日推出，自動(dòng)或手動(dòng)進(jìn)行升級(jí)的消費(fèi)者已經(jīng)得到了保護(hù)?！?/p>

而實(shí)際上，此次美國(guó)國(guó)家安全局將漏洞通知微軟并公開(kāi)處理，是破天荒的第一次。

據(jù)紐約時(shí)報(bào)1月14日?qǐng)?bào)道，過(guò)去多年來(lái)，美國(guó)國(guó)家安全局收集各種形式的計(jì)算機(jī)漏洞，以獲取對(duì)數(shù)字網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限、收集情報(bào)、研發(fā)黑客工具等，用來(lái)對(duì)付美國(guó)的敵人。但是近年來(lái)，一些黑客工具落入了網(wǎng)絡(luò)犯罪份子和其他惡意行為者的手中，這令美國(guó)國(guó)安局遭到了嚴(yán)厲批評(píng)。

紐約時(shí)報(bào)報(bào)道稱(chēng)，通過(guò)發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞并領(lǐng)導(dǎo)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行更新，美國(guó)國(guó)安局似乎從美國(guó)政府的秘密機(jī)關(guān)向公共服務(wù)進(jìn)行了一次不尋常的戰(zhàn)略轉(zhuǎn)變。此舉也表明，過(guò)去因放任漏洞傳播導(dǎo)致數(shù)億美元損失的指責(zé)，讓美國(guó)國(guó)安局舊傷未愈。

2017年，微軟曾經(jīng)公開(kāi)譴責(zé)美國(guó)國(guó)家安全局。

據(jù)華爾街日?qǐng)?bào)報(bào)道，當(dāng)時(shí)，利用Windows漏洞的美國(guó)國(guó)家安全局黑客工具被竊后泄露在網(wǎng)絡(luò)上，導(dǎo)致了一起全球性的網(wǎng)絡(luò)攻擊。

在這種情況下，微軟總裁Brad Smith發(fā)表了一篇博客文章，批評(píng)美國(guó)政府出于自身目的將漏洞保密，制造了強(qiáng)大的網(wǎng)絡(luò)武器，又失去了對(duì)它的控制權(quán)。Smith當(dāng)時(shí)將這種情況比作“美國(guó)軍隊(duì)的戰(zhàn)斧導(dǎo)彈（Tomahawk）被偷走了”。

2017年底，特朗普政府發(fā)布了首個(gè)公開(kāi)路線(xiàn)圖，概述了政府對(duì)美國(guó)國(guó)家安全局已發(fā)現(xiàn)的重要網(wǎng)絡(luò)安全漏洞的政策，通常這些漏洞都在流行的消費(fèi)者軟件里。這一文件為美國(guó)國(guó)家安全局發(fā)現(xiàn)漏洞后何時(shí)披露、何時(shí)保密，以用于未來(lái)可能進(jìn)行的進(jìn)攻行動(dòng)提供了指導(dǎo)。

上述文件中稱(chēng)，關(guān)于漏洞的合理處置（Vulnerabilities Equities Process）應(yīng)“采用法律允許的最低保密級(jí)別”寫(xiě)一份年度報(bào)告，其中包括一個(gè)提供給國(guó)會(huì)的“非保密級(jí)別的，盡可能短小的可執(zhí)行摘要”。

然而，了解情況的人士介紹，幾年過(guò)去了，并沒(méi)有任何信息被公開(kāi)，美國(guó)國(guó)會(huì)也沒(méi)有拿到非保密級(jí)別的細(xì)節(jié)，這令國(guó)會(huì)山感到沮喪。