在一群个人电脑处理器中喊'火'的危险

我们再次看到相同的戏剧发挥作用。Microsoft发布了一个安全补丁和可怕警告从每个角落出现。当您的本地新闻广播告诉您现在更好的修补窗口时......，应以更高的温带建议为准。

两周前，在周二的补丁上，微软发布了一个被称为CVE-2020-0601的安全漏洞的补丁 - Crypt32.dll漏洞也称为ChainOffools或曲线球。

克拉克斯尖叫着。首先，即使是美国国家安全机构也进入该法案，首先通过对安全洞的成因进行前所未有的索赔，然后通过发布第一个NSA网络安全咨询（PDF）警告人们来躲避和掩护：

NSA建议尽快安装1月2020年1月20日修补周二修补程序，以有效地减轻所有Windows 10和Windows Server 2016/2019系统上的漏洞。

当然，世界上每个新闻出口都挑选起来。什么新闻编辑可以避免呼应NSA发表，即使它涉及椭圆曲线加密证书，无论如何？我儿子的早期九岁的朋友问我是否安装了补丁 - 然后骂我（以最好的方式）嘲笑。

NSA评估了严重的脆弱性，并且复杂的网络演员将非常快速地了解潜在的缺陷，如果被剥削，则将前面提到的平台呈现出基本上脆弱的。没有修补脆弱性的后果严重和普遍。远程剥削工具可能会迅速和广泛地提供。

要公平，微软并没有占用NSA的天空是下降的日常生活。CVE-2020-0601警告现在说，正如它所说，这是一个不公开披露的，没有被剥削的漏洞，并不是“重要”（低于“关键”）严重程度。

从推荐您删除所有内容并获得安装的修补程序修补程序，这并没有阻止骗局或权限。

这几乎不是孤立的事件：

这只是过去五个月。返回更远，你看到相同的模式重复：补丁已释放。安全人士哭“狼！”知识渊博的专家阐述了。新闻网点，行业博客圈，流行的杂志，当地电视新闻卡车和您的汽车机械师的姐夫鹦鹉战斗哭泣。应用补丁的人们在繁殖中刺激......没有出现任何重大攻击。

也就是说，肯定有合法的“修补”哭泣。Microsoft远程桌面中的蓝色安全漏洞在2019年5月发布的CVE-2019-0708中修复。该补丁修复了11月在野外终于在野外剥削（但不是非常成功）的漏洞。他们的爸爸全部，Wannacry，于2017年5月开始蔓延（谢谢NSA），尽管它在3月份被MS17-010修补了。

从30,000英尺看，重复行为似乎是令人闻意的 - 这引用了一遍又一遍地做同样的事情并期待不同的结果吗？但它掩盖了两个非常重要，有害的后果的哭泣“狼！”

1.很多人都会踩到申请越野车补丁。我知道你们中的一些人觉得微软的Windows修补的质量非常好，而且它变得更好。在我的脑海里，最近的观察结果不支持结论。看看这个持续的坏补丁清单及其后果，回到了两年半。

2.当他们分心，这些组织在被这些嚎叫分心时拆除了重要洞。因此，首席执行官或CIO或CFO或其他事务人员听到了一个可怕的新安全漏洞，并且负责修补的人员首先愤怒地修复了高调问题。哎呀如果NSA或美国国土安全问题发出警报，它必须是一个大，怪异的问题，对吧？好吧，没有。在过去的几周内，一些组织已经回应了被感知的威胁，让ChainOffools /曲线安全漏洞插入，当时他们的时间将更好地花在更重要的贴片上，即，Citrix网络应用程序和脉冲安全VPN，

天空堕落的组织有自己的优先事项，他们自己的箱子击败，他们自己的产品兜售。对他们来说有什么好处对你不一定。