Benutzer helmut-wk schrieb:
Benutzer s10t2z3r schrieb:
in der Meldung fehlt der wichtige Hinweis, dass von der gefährlichen, von der NSA entdeckten Sicherheitslücke ausschließlich das "beste Windows aller Zeiten", nämlich Windows-10 (W-X), betroffen ist!
Nun, da gibt es Leute, die das anders sehen:
"Unklar blieb, ob das veraltete Betriebssystem Windows 7, das noch auf Millionen PCs läuft, auch von dem Fehler betroffen ist. Microsoft führte nur Windows 10 und Windows Server 2016 als betroffene Systeme auf. Der Sicherheitsforscher Brian Krebs wies aber darauf hin, dass die betroffene Systemkomponente crypt32.dll bereits vor über 20 Jahren mit Windows 4.0 eingeführt worden sei." https://www.zeit.de/news/2020-01/15/microsoft-schliesst-windows-schwachstelle-nach-nsa-hinweis
na, die ZEIT muss es ja wissen, das sind bekanntlich die besten IT-Experten! :-(
Ich neige dazu, mich an der Quelle zu informieren. https://portal.msrc.microsoft.com/
en-US/security-guidance/advisory/CVE-2020-0601
MS schreibt: "Are versions older than Windows 10 versions affected by this vulnerability?
No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected."
Im Übrigen geht das MITM lauschen an HTTPS Verbindungen nur mit den MS-Browsern, dem unsäglichen Internet-Exploder und Edge. Firefox stützt sich nicht auf die Windows Crypto-API, ist also auch nicht verwundbar.