CVE-2020-0601 (CRYPT32.DLL关键漏洞)是否影响Windows 7，是否有修补程序可修复？

Question

我收到了相互矛盾的报告。

谷歌搜索："windows 7“修复CVE-2020-0601

(来自PCWorld的)最高结果声称“与先前的传言相反，它不影响Windows7”。

向下滚动会发现一堆声称影响Windows 7和更新版本的文章。

有人能确认该漏洞是否影响到Windows 7吗?如果是的话，在支持结束后是否会有可用的修补程序？

(供参考: Windows XP中有几个非常严重的漏洞，多年来一直在修补，这为在Windows 7中进行修补提供了一个很好的先例。)

Answer 1

在这里和Google搜索中看到了多个结论参差不齐的答案，以及对Windows 7是否受此漏洞影响的详细解释之后，我自己决定了真正的答案，并展示了我的测试过程。

下面是一个虚拟机(VM)中一个新的Windows 10安装的屏幕截图，在这个虚拟机中，我使用了一个网站(https://curveballtest.com/)，该网站为该漏洞提供了概念证明(PoC)，这是一个证明此漏洞有效的控件。

Windows 10

有关Windows 10安装的信息。

显示用于欺骗运行在Windows 10安装上的HTTPS证书的https://curveballtest.com/ PoC。

显示用于欺骗在Windows 10安装上工作的可执行文件签名的https://curveballtest.com/ PoC。

现在，我还在VM中创建了一个新的Windows 7安装，下面是https://curveballtest.com/ PoCs的结果。

Windows 7

有关Windows 7安装的信息。

显示用于欺骗不适用于Windows 7安装的HTTPS的证书的https://curveballtest.com/ PoC。

显示用于欺骗不运行于Windows 7安装的可执行文件的https://curveballtest.com/ PoC。

通过这个测试，我们可以有效地得出结论，Windows 7不容易受到CVE-2020-0601的攻击。

Answer 2

这个职位在SANS ISC InfoSec论坛网站上声明

Windows 7不受影响。。.The受影响的库crypt32.dll (CryptoAPI)存在于较早版本的Windows中，包括Windows 7，但并非所有版本的该库都受到影响。

协调中心漏洞注意事项VU#849224解释说

Windows8.1和以前版本以及Server 2012 R2和以前的对应程序不支持带有参数的ECC密钥。因此，试图利用此漏洞的证书本质上不受旧Windows版本的信任。