微軟Windows 10操作系統(tǒng)。

近日，美國國家安全局（NSA）檢測到微軟Windows 10操作系統(tǒng)上的一個漏洞，并向微軟發(fā)出了警告。微軟于1月14日發(fā)布了一個補(bǔ)丁對其進(jìn)行修復(fù)。

這是美國國家安全局第一次發(fā)現(xiàn)漏洞后通知企業(yè)并公開處理，過往的做法是密而不發(fā)，利用漏洞研發(fā)黑客工具。對此，微軟曾于2017年對美國國安局進(jìn)行公開譴責(zé)。

據(jù)華爾街日報1月14日報道，此次發(fā)現(xiàn)的Windows漏洞，可能會被黑客利用以破壞、監(jiān)視或干擾目標(biāo)計算機(jī)網(wǎng)絡(luò)。它利用了微軟使用數(shù)字簽名驗證軟件的真實性，以阻止惡意軟件被安裝到計算機(jī)上的設(shè)置，但該漏洞可能會允許黑客在系統(tǒng)檢測不出來的情況下安裝更強(qiáng)大的惡意軟件。

美國政府官員將該漏洞描述為特別嚴(yán)重，并表示微軟用戶應(yīng)該立刻升級系統(tǒng)將其修復(fù)。當(dāng)天，美國國家安全局新成立的網(wǎng)絡(luò)安全組組長Anne Neuberger表示：“我們建議網(wǎng)絡(luò)所有者立即發(fā)布補(bǔ)丁。”據(jù)她透露，美國國家安全局發(fā)現(xiàn)這個漏洞后立即通知了微軟。

微軟和美國國家安全局均表示，他們尚未找到證據(jù)證明該漏洞已被用于惡意目的。

美國國土安全部（DHS）1月14日同樣發(fā)布了一項緊急指令，指示美國聯(lián)邦機(jī)構(gòu)采取一系列步驟，立即在系統(tǒng)上安裝補(bǔ)丁。美國國土安全部網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局高級官員Bryan Ware表示，他們會與私營行業(yè)合作伙伴聯(lián)系，警告漏洞帶來的風(fēng)險。

微軟高級主管Jeff Jones在一份聲明中稱：“一個安全升級已于2020年1月14日推出，自動或手動進(jìn)行升級的消費(fèi)者已經(jīng)得到了保護(hù)?！?/p>

而實際上，此次美國國家安全局將漏洞通知微軟并公開處理，是破天荒的第一次。

據(jù)紐約時報1月14日報道，過去多年來，美國國家安全局收集各種形式的計算機(jī)漏洞，以獲取對數(shù)字網(wǎng)絡(luò)的訪問權(quán)限、收集情報、研發(fā)黑客工具等，用來對付美國的敵人。但是近年來，一些黑客工具落入了網(wǎng)絡(luò)犯罪份子和其他惡意行為者的手中，這令美國國安局遭到了嚴(yán)厲批評。

紐約時報報道稱，通過發(fā)現(xiàn)一個嚴(yán)重漏洞并領(lǐng)導(dǎo)對計算機(jī)系統(tǒng)進(jìn)行更新，美國國安局似乎從美國政府的秘密機(jī)關(guān)向公共服務(wù)進(jìn)行了一次不尋常的戰(zhàn)略轉(zhuǎn)變。此舉也表明，過去因放任漏洞傳播導(dǎo)致數(shù)億美元損失的指責(zé)，讓美國國安局舊傷未愈。

2017年，微軟曾經(jīng)公開譴責(zé)美國國家安全局。

據(jù)華爾街日報報道，當(dāng)時，利用Windows漏洞的美國國家安全局黑客工具被竊后泄露在網(wǎng)絡(luò)上，導(dǎo)致了一起全球性的網(wǎng)絡(luò)攻擊。

在這種情況下，微軟總裁Brad Smith發(fā)表了一篇博客文章，批評美國政府出于自身目的將漏洞保密，制造了強(qiáng)大的網(wǎng)絡(luò)武器，又失去了對它的控制權(quán)。Smith當(dāng)時將這種情況比作“美國軍隊的戰(zhàn)斧導(dǎo)彈（Tomahawk）被偷走了”。

2017年底，特朗普政府發(fā)布了首個公開路線圖，概述了政府對美國國家安全局已發(fā)現(xiàn)的重要網(wǎng)絡(luò)安全漏洞的政策，通常這些漏洞都在流行的消費(fèi)者軟件里。這一文件為美國國家安全局發(fā)現(xiàn)漏洞后何時披露、何時保密，以用于未來可能進(jìn)行的進(jìn)攻行動提供了指導(dǎo)。

上述文件中稱，關(guān)于漏洞的合理處置（Vulnerabilities Equities Process）應(yīng)“采用法律允許的最低保密級別”寫一份年度報告，其中包括一個提供給國會的“非保密級別的，盡可能短小的可執(zhí)行摘要”。

然而，了解情況的人士介紹，幾年過去了，并沒有任何信息被公開，美國國會也沒有拿到非保密級別的細(xì)節(jié)，這令國會山感到沮喪。