Tavis Ormandy, sikkerhed forsker ved Googles Project Zero, har ”bemærket en fejl i SymCrypt, kernen bibliotek, der håndterer alle krypto på Windows.”Fejlen er en nul-dag i DoS (Servicenægtelse) typen.
Fejlen betyder, at ”dybest set noget, der gør krypto i Windows kan hårdknude (s / mime, Authenticode, IPSec, IIS, alting)", forskeren åbenbaret i en række tweets. Tilsyneladende, Microsoft forpligtet til at løse det i 90 dage, men det har stadig ikke.
Oprindeligt, selskabet sagde, at de gerne vil udsende en bulletin for udstedelse, men har brug for indtil 11. juni. På den dag, dog, Microsoft bemærkede, at ”plastret vil ikke sende i dag". En patch ville ikke være klar før udgivelsen juli på grund af spørgsmål, der findes i test.
Mere om SymCrypt bug
Spørgsmålet er placeret i Windows’ SymCrypt kerne kryptografisk bibliotek, der har været tilgængelig i symmetriske algoritmer siden Windows 8. SymCrypt anses også det primære krypto bibliotek for asymmetriske algoritmer på Windows 10 1703 opbygge.
En fejlrapport om problemet er nu tilgængelig på Chromium, efter fristen på 90 dage, der er gået. Det er hvad fejlrapporten siger:
Der er en fejl i de SymCrypt multi-præcision aritmetiske rutiner, der kan forårsage en uendelig løkke ved beregning af den modulære inverse på specifikke bitmønstre med bcryptprimitives!SymCryptFdefModInvGeneric.
Desuden, Ormandy har været i stand til at konstruere et X.509 certifikat, der udløser fejlen. Forskeren opdagede også, at indlejre certifikatet i en S / MIME-besked, Authenticode signatur, SChannel forbindelse, vil ”effektivt DOS enhver windows server (f.eks. IPSec, IIS, udveksle, etc) og (afhængigt af sammenhængen) kan kræve, at maskinen kan genstartes".
Da masser af software, der håndterer ikke er tillid indhold (såsom antivirus programmer) kalder disse rutiner på ikke er tillid til data, dette ville få dem til at deadlock.
Selvom fejlen er lav i sværhedsgrad, det ikke bør overses. Der forventes en patch til at blive leveret via juli 2018 patch tirsdag.