Tavis Ormandy, Sicherheitsforscher bei Googles Project Zero, hat "Ein Fehler in SymCrypt bemerkt, der Kern-Bibliothek, die alle Krypto auf Windows Griffe.“Der Fehler ist ein Zero-Day des DoS (Denial-of-Service-) Art.
Der Fehler bedeutet, dass „im Grunde alles, was tut Krypto in Windows blockiert werden kann (S / MIME, authenticode, ipsec, iis, alles)", der Forscher ergab, in eine Reihe von Tweets. Offenbar, Microsoft verpflichtet, es auf die Festsetzung in 90 Tage, aber es hat noch nicht.
Ursprünglich, die Firma sagte, dass sie ein Bulletin für die Ausgabe Ausgabe möchten, müssen aber bis zum 11. Juni. An diesem Tag, jedoch, Microsoft stellte fest, dass „der Patch wird heute nicht versendet". Ein Patch würde, bis die Juli-Ausgabe nicht bereit sein, aufgrund von Problemen bei der Prüfung gefunden.
Mehr zu dem SymCrypt Bug
Das Problem liegt in Windows’ SymCrypt Kern Krypto-Bibliothek, die seit Windows für symmetrische Algorithmen zur Verfügung hat 8. SymCrypt ist auch die primäre Krypto-Bibliothek für asymmetrische Algorithmen auf dem Windows betrachtet 10 1703 bauen.
Ein Fehlerbericht über das Thema ist jetzt auf Chromium, nach der 90-Tage-Frist verstrichen. Das ist was der Bug-Report sagt:
Es gibt einen Fehler in den SymCrypt Multipräzisionsarithmetik-Routinen, die eine unendliche Schleife verursachen können, wenn die modulare Inverse zu bestimmten Bitmustern mit bcryptprimitives Berechnungs!SymCryptFdefModInvGeneric.
Außerdem, Ormandy konnte ein X.509-Zertifikat konstruieren, die den Fehler auslöst,. Die Forscher haben auch entdeckt, dass das Zertifikat in einer S / MIME-Nachricht einbetten, authenticode Unterschrift, schannel Verbindung, werden "effektiv DoS jeden Windows-Server (z.B.. ipsec, iis, Austausch-, etc) und (je nach Kontext) kann die Maschine erfordern neu gestartet werden".
Da eine Vielzahl von Software verarbeitet, die nicht vertrauenswürdige Inhalte (wie Anti-Virus-Programme) rufen Sie diese Routinen auf nicht vertrauenswürdige Daten, Dies würde bewirken, dass sie in einer Sackgasse.
Auch wenn der Fehler gering ist in der Schweren, es sollte nicht übersehen werden,. Ein Patch wird voraussichtlich über Juli 2018 Patch-Dienstag ausgeliefert werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: