Microsoft undlader at Patch Zero-Day Bug i Windows SymCrypt
CYBER NEWS

Microsoft undlader at Patch Zero-Day Bug i Windows SymCrypt

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...


Tavis Ormandy, sikkerhed forsker ved Googles Project Zero, har ”bemærket en fejl i SymCrypt, kernen bibliotek, der håndterer alle krypto på Windows.”Fejlen er en nul-dag i DoS (Servicenægtelse) typen.




Fejlen betyder, at ”dybest set noget, der gør krypto i Windows kan hårdknude (s / mime, Authenticode, IPSec, IIS, alting)", forskeren åbenbaret i en række tweets. Tilsyneladende, Microsoft forpligtet til at løse det i 90 dage, men det har stadig ikke.

Oprindeligt, selskabet sagde, at de gerne vil udsende en bulletin for udstedelse, men har brug for indtil 11. juni. På den dag, dog, Microsoft bemærkede, at ”plastret vil ikke sende i dag". En patch ville ikke være klar før udgivelsen juli på grund af spørgsmål, der findes i test.

Mere om SymCrypt bug

Spørgsmålet er placeret i Windows’ SymCrypt kerne kryptografisk bibliotek, der har været tilgængelig i symmetriske algoritmer siden Windows 8. SymCrypt anses også det primære krypto bibliotek for asymmetriske algoritmer på Windows 10 1703 opbygge.

En fejlrapport om problemet er nu tilgængelig på Chromium, efter fristen på 90 dage, der er gået. Det er hvad fejlrapporten siger:

Der er en fejl i de SymCrypt multi-præcision aritmetiske rutiner, der kan forårsage en uendelig løkke ved beregning af den modulære inverse på specifikke bitmønstre med bcryptprimitives!SymCryptFdefModInvGeneric.

Desuden, Ormandy har været i stand til at konstruere et X.509 certifikat, der udløser fejlen. Forskeren opdagede også, at indlejre certifikatet i en S / MIME-besked, Authenticode signatur, SChannel forbindelse, vil ”effektivt DOS enhver windows server (f.eks. IPSec, IIS, udveksle, etc) og (afhængigt af sammenhængen) kan kræve, at maskinen kan genstartes".

Relaterede: Googles ProjectZero Forvirrede af Microsoft, CVE-2017-0037 Stadig Ikke Patched

Da masser af software, der håndterer ikke er tillid indhold (såsom antivirus programmer) kalder disse rutiner på ikke er tillid til data, dette ville få dem til at deadlock.

Selvom fejlen er lav i sværhedsgrad, det ikke bør overses. Der forventes en patch til at blive leveret via juli 2018 patch tirsdag.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler!

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...