Luka, wykryta na początku sierpnia br. przez niezależnego badacza, dotyczy API kryptograficznego Windows (CryptoAPI), zapewniającego strukturę systemową używaną przez programy do uzyskiwania usług kryptograficznych. CryptoAPI zapewnia obsługę: szyfrowania deszyfrowania, podpisu cyfrowego i inne zadania.

Łatka dotyczy różnych wersji systemu operacyjnego Windows i trzech programów dla Macintosch: Office, Internet Explorer i Outlook Express. Systemy operacyjne to: Windows 98/ 98SE/ ME/ NT 4.0/ NT 4.0 Terminal Server Edition/ 2000 i XP.

Zobacz również:

• Dlaczego warto aktualizować jądro systemu operacyjnego Linux?
• Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane

Ponieważ kod wykorzystujący tę lukę został już opublikowany, Microsoft zdecydował się na wypuszczanie łatek do poszczególnych wersji w miarę, jak są opracowywane. Łatki mają status krytycznych.

Problem polega na tym, że CryptoAPI nie sprawdza w certyfikatach cyfrowych parametru o nazwie "Basic Constraints", który jest używany do sprawdzania ważności łańcucha certyfikatów cyfrowych w hierarchicznej strukturze certyfikacji, a to daje możliwość fałszowania certyfikatów.

CryptoAPI używane jest przez wielu niezależnych dostawców aplikacji do zapewnienia usług ochrony w swoich programach, w tym również podpisów cyfrowych.