Tavis Ormandy,, investigador de seguridad en el Proyecto Cero de Google, tiene "notado un error en SymCrypt, la biblioteca central que se encarga de toda la criptografía en Windows.”El fallo es un día cero del DoS (negación de servicio) tipo.
El fallo significa que “básicamente cualquier cosa que hace cripto en Windows puede ser un punto muerto (s / MIME, authenticode, IPSec, IIS, todo)", el investigador revela en una serie de tweets. Al parecer,, Microsoft ha comprometido a fijar en 90 días, pero todavía no tiene.
Inicialmente, la compañía dijo que les gustaría emitir un boletín para la emisión, pero necesitan hasta junio 11ª. En ese día, sin embargo, Microsoft señaló que “el parche no se entrega el siguiente día". Un parche no estaría listo hasta la liberación julio debido a los problemas encontrados en las pruebas.
Más acerca del fallo SymCrypt
El problema se encuentra en Windows’ SymCrypt biblioteca criptográfica núcleo que ha estado disponible para los algoritmos simétricos desde Windows 8. SymCrypt también se considera la biblioteca de cifrado principal para los algoritmos asimétricos en las ventanas 10 1703 construir.
Un informe de fallos sobre el tema ya está disponible en el cromo, después de que el plazo de 90 días ha pasado. Esto es lo que el informe de error dice:
Hay un error de los múltiples rutinas de precisión aritmética SymCrypt que puede provocar un bucle infinito cuando se calcula el inverso modular de patrones de bits específicos con bcryptprimitives!SymCryptFdefModInvGeneric.
Adicionalmente, Ormandy ha sido capaz de construir un certificado X.509 que desencadena el error. El investigador también descubrió que la incorporación del certificado en un mensaje S / MIME, firma authenticode, conexión schannel, será "DOS con eficacia cualquier servidor de ventanas (por ejemplo. IPSec, IIS, intercambiar, etc) y (dependiendo del contexto) puede requerir la máquina para ser reiniciado".
Dado que una gran cantidad de software que maneja el contenido no es de confianza (como por ejemplo programas antivirus) llamar a estas rutinas en los datos que no se confía, esto les causaría a un punto muerto.
A pesar de que el insecto es baja en severidad, no debe pasarse por alto. Se espera que un parche para ser entregados a través de Julio, 2018 Martes de parches.