我收到相互矛盾的报告。
在 Google 中搜索:“windows 7”修复 CVE-2020-0601
最高结果(来自 PCWorld)声称“与之前的谣言相反,它不会影响 Windows 7”。
向下滚动会发现一堆声称它影响 Windows 7 和更新版本的文章。
任何人都可以确认该漏洞利用是否影响 Windows 7,如果是,尽管支持结束,是否会有可用的补丁程序?
(供参考:多年来,Windows XP 中有一些极其严重的漏洞得到了修补,这为在 Windows 7 中修补(如果适用)提供了一个很好的先例)
在这里和谷歌搜索中看到了多个结论不一的答案,以及没有彻底解释 Windows 7 是否受此漏洞影响后,我决定自己确定真正的答案并展示我的测试过程。
下面是在虚拟机 (VM) 中全新安装 Windows 10 的屏幕截图,在该虚拟机中,我使用了一个网站 ( https://curveballtest.com/ ),该网站具有可用于此漏洞的 Proof-Of-Concepts(PoC),这是一个控制以证明这是有效的。
视窗 10
有关 Windows 10 安装的信息。
显示https://curveballtest.com/ PoC,用于在 Windows 10 安装上工作的 HTTPS 欺骗证书。
显示https://curveballtest.com/ PoC,用于对在 Windows 10 安装上运行的可执行文件进行欺骗签名。
现在,我还在 VM 中创建了全新的 Windows 7 安装,以下是https://curveballtest.com/ PoC的结果。
Windows 7的
有关 Windows 7 安装的信息。
显示用于欺骗 HTTPS 证书的https://curveballtest.com/ PoC 不适用于 Windows 7 安装。
显示https://curveballtest.com/ PoC 用于欺骗签名不适用于 Windows 7 安装的可执行文件。
从这个测试中,我们可以有效地得出结论,Windows 7不容易受到 CVE-2020-0601 的攻击。
SANS ISC 信息安全论坛网站上的这篇文章指出
Windows 7 不受影响。. . 受影响的库 crypt32.dll (CryptoAPI) 存在于旧版本的 Windows 中,包括 Windows 7。但并非该库的所有版本都受到影响。
和CMU CERT 协调中心漏洞说明 VU#849224解释
Windows 8.1 和更早版本以及 Server 2012 R2 和更早版本不支持带参数的 ECC 密钥。因此,尝试利用此漏洞的此类证书本质上不受旧 Windows 版本的信任。