Accueil > Nouvelles Cyber > Microsoft ne parvient pas à corriger le bogue Zero-Day dans Windows SymCrypt
CYBER NOUVELLES

Microsoft ne parvient pas à Patch Bug Zero-Day dans Windows SymCrypt


Tavis Ormandy, chercheur en sécurité au projet de Google Zéro, a "remarqué un bug dans SymCrypt, la bibliothèque de base qui gère toutes les Crypto sous Windows.» Le bug est un zéro jour du DoS (déni de service) type.




Le bug signifie que «essentiellement tout ce qui fait Crypto dans Windows peut être bloquée (s / mime, authenticode, ipsec, iis, tout)", le chercheur a révélé dans une série de tweets. Apparemment, Microsoft est engagé à fixer dans 90 journées, mais il n'a toujours pas.

Initialement, la société a déclaré qu'ils aimeraient publier un bulletin pour la question, mais ont besoin jusqu'au 11 Juin. Ce jour la, cependant, Microsoft a noté que «le patch ne sera pas expédiés aujourd'hui". Un patch ne serait pas prêt avant la sortie Juillet en raison de problèmes rencontrés dans les essais.

En savoir plus sur le bug SymCrypt

Le problème se trouve dans Windows’ bibliothèque cryptographique noyau SymCrypt qui a été disponible pour les algorithmes symétriques depuis Windows 8. SymCrypt est également considéré comme la bibliothèque Crypto primaire pour les algorithmes asymétriques sur Windows 10 1703 construire.

Un rapport de bogue sur la question est maintenant disponible sur Chrome, après le délai de 90 jours a passé. C'est quoi le rapport de bogue dit:

Il y a un bogue dans les routines arithmétiques multi-précision SymCrypt qui peut provoquer une boucle infinie lors du calcul de l'inverse modulaire sur les modèles de bits spécifiques avec bcryptprimitives!SymCryptFdefModInvGeneric.

En outre, Ormandy a été en mesure de construire un certificat X.509 qui déclenche le bug. Le chercheur a également découvert que l'intégration du certificat dans un message S / MIME, signature authenticode, connexion schannel, volonté "DOS efficacement tout serveur Windows (e.g. ipsec, iis, échange, etc) et (en fonction du contexte) peut exiger que la machine soit redémarrée".

en relation: [wplinkpreview url =”https://sensorstechforum.com/google-projectzero-puzzled-microsoft-cve-2017-0037-not-patched/”]ProjectZero Perplexe de Google par Microsoft, CVE-2017-0037 Still Not Patched

Étant donné que beaucoup de logiciels qui gère le contenu non sécurisé (tels que les programmes antivirus) appeler ces routines sur les données non fiables, cela leur causerait à une impasse.

Même si le bogue est faible gravité, il ne faut pas négliger. Un patch devrait être livré via Patch Tuesday de Juillet 2018.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord