Microsoft falla al Parche de errores de día cero en Windows SymCrypt
CYBER NOTICIAS

Microsoft falla al Parche de errores de día cero en Windows SymCrypt


Tavis Ormandy,, investigador de seguridad en el Proyecto Cero de Google, tiene "notado un error en SymCrypt, la biblioteca central que se encarga de toda la criptografía en Windows.”El fallo es un día cero del DoS (negación de servicio) tipo.




El fallo significa que “básicamente cualquier cosa que hace cripto en Windows puede ser un punto muerto (s / MIME, authenticode, IPSec, IIS, todo)", el investigador revela en una serie de tweets. Al parecer,, Microsoft ha comprometido a fijar en 90 días, pero todavía no tiene.

Inicialmente, la compañía dijo que les gustaría emitir un boletín para la emisión, pero necesitan hasta junio 11ª. En ese día, sin embargo, Microsoft señaló que “el parche no se entrega el siguiente día". Un parche no estaría listo hasta la liberación julio debido a los problemas encontrados en las pruebas.

Más acerca del fallo SymCrypt

El problema se encuentra en Windows’ SymCrypt biblioteca criptográfica núcleo que ha estado disponible para los algoritmos simétricos desde Windows 8. SymCrypt también se considera la biblioteca de cifrado principal para los algoritmos asimétricos en las ventanas 10 1703 construir.

Un informe de fallos sobre el tema ya está disponible en el cromo, después de que el plazo de 90 días ha pasado. Esto es lo que el informe de error dice:

Hay un error de los múltiples rutinas de precisión aritmética SymCrypt que puede provocar un bucle infinito cuando se calcula el inverso modular de patrones de bits específicos con bcryptprimitives!SymCryptFdefModInvGeneric.

Adicionalmente, Ormandy ha sido capaz de construir un certificado X.509 que desencadena el error. El investigador también descubrió que la incorporación del certificado en un mensaje S / MIME, firma authenticode, conexión schannel, será "DOS con eficacia cualquier servidor de ventanas (por ejemplo. IPSec, IIS, intercambiar, etc) y (dependiendo del contexto) puede requerir la máquina para ser reiniciado".

Relacionado: Desconcertado ProjectZero de Google por Microsoft, CVE-2017-0037 Aún no parcheada

Dado que una gran cantidad de software que maneja el contenido no es de confianza (como por ejemplo programas antivirus) llamar a estas rutinas en los datos que no se confía, esto les causaría a un punto muerto.

A pesar de que el insecto es baja en severidad, no debe pasarse por alto. Se espera que un parche para ser entregados a través de Julio, 2018 Martes de parches.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...