Tavis Ormandy, chercheur en sécurité au projet de Google Zéro, a "remarqué un bug dans SymCrypt, la bibliothèque de base qui gère toutes les Crypto sous Windows.» Le bug est un zéro jour du DoS (déni de service) type.
Le bug signifie que «essentiellement tout ce qui fait Crypto dans Windows peut être bloquée (s / mime, authenticode, ipsec, iis, tout)", le chercheur a révélé dans une série de tweets. Apparemment, Microsoft est engagé à fixer dans 90 journées, mais il n'a toujours pas.
Initialement, la société a déclaré qu'ils aimeraient publier un bulletin pour la question, mais ont besoin jusqu'au 11 Juin. Ce jour la, cependant, Microsoft a noté que «le patch ne sera pas expédiés aujourd'hui". Un patch ne serait pas prêt avant la sortie Juillet en raison de problèmes rencontrés dans les essais.
En savoir plus sur le bug SymCrypt
Le problème se trouve dans Windows’ bibliothèque cryptographique noyau SymCrypt qui a été disponible pour les algorithmes symétriques depuis Windows 8. SymCrypt est également considéré comme la bibliothèque Crypto primaire pour les algorithmes asymétriques sur Windows 10 1703 construire.
Un rapport de bogue sur la question est maintenant disponible sur Chrome, après le délai de 90 jours a passé. C'est quoi le rapport de bogue dit:
Il y a un bogue dans les routines arithmétiques multi-précision SymCrypt qui peut provoquer une boucle infinie lors du calcul de l'inverse modulaire sur les modèles de bits spécifiques avec bcryptprimitives!SymCryptFdefModInvGeneric.
En outre, Ormandy a été en mesure de construire un certificat X.509 qui déclenche le bug. Le chercheur a également découvert que l'intégration du certificat dans un message S / MIME, signature authenticode, connexion schannel, volonté "DOS efficacement tout serveur Windows (e.g. ipsec, iis, échange, etc) et (en fonction du contexte) peut exiger que la machine soit redémarrée".
Étant donné que beaucoup de logiciels qui gère le contenu non sécurisé (tels que les programmes antivirus) appeler ces routines sur les données non fiables, cela leur causerait à une impasse.
Même si le bogue est faible gravité, il ne faut pas négliger. Un patch devrait être livré via Patch Tuesday de Juillet 2018.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: