Hjem > Cyber ​​Nyheder > Microsoft undlader at korrigere nul-dages fejl i Windows SymCrypt
CYBER NEWS

Microsoft undlader at Patch Zero-Day Bug i Windows SymCrypt


Tavis Ormandy, sikkerhed forsker ved Googles Project Zero, har ”bemærket en fejl i SymCrypt, kernen bibliotek, der håndterer alle krypto på Windows.”Fejlen er en nul-dag i DoS (Servicenægtelse) typen.




Fejlen betyder, at ”dybest set noget, der gør krypto i Windows kan hårdknude (s / mime, Authenticode, IPSec, IIS, alting)", forskeren åbenbaret i en række tweets. Tilsyneladende, Microsoft forpligtet til at løse det i 90 dage, men det har stadig ikke.

Oprindeligt, selskabet sagde, at de gerne vil udsende en bulletin for udstedelse, men har brug for indtil 11. juni. På den dag, dog, Microsoft bemærkede, at ”plastret vil ikke sende i dag". En patch ville ikke være klar før udgivelsen juli på grund af spørgsmål, der findes i test.

Mere om SymCrypt bug

Spørgsmålet er placeret i Windows’ SymCrypt kerne kryptografisk bibliotek, der har været tilgængelig i symmetriske algoritmer siden Windows 8. SymCrypt anses også det primære krypto bibliotek for asymmetriske algoritmer på Windows 10 1703 opbygge.

En fejlrapport om problemet er nu tilgængelig på Chromium, efter fristen på 90 dage, der er gået. Det er hvad fejlrapporten siger:

Der er en fejl i de SymCrypt multi-præcision aritmetiske rutiner, der kan forårsage en uendelig løkke ved beregning af den modulære inverse på specifikke bitmønstre med bcryptprimitives!SymCryptFdefModInvGeneric.

Desuden, Ormandy har været i stand til at konstruere et X.509 certifikat, der udløser fejlen. Forskeren opdagede også, at indlejre certifikatet i en S / MIME-besked, Authenticode signatur, SChannel forbindelse, vil ”effektivt DOS enhver windows server (f.eks. IPSec, IIS, udveksle, etc) og (afhængigt af sammenhængen) kan kræve, at maskinen kan genstartes".

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/google-projectzero-puzzled-microsoft-cve-2017-0037-not-patched/”]Googles ProjectZero Forvirrede af Microsoft, CVE-2017-0037 Stadig Ikke Patched

Da masser af software, der håndterer ikke er tillid indhold (såsom antivirus programmer) kalder disse rutiner på ikke er tillid til data, dette ville få dem til at deadlock.

Selvom fejlen er lav i sværhedsgrad, det ikke bør overses. Der forventes en patch til at blive leveret via juli 2018 patch tirsdag.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig