Tavis Ormandy, chercheur en sécurité au projet de Google Zéro, a "remarqué un bug dans SymCrypt, la bibliothèque de base qui gère toutes les Crypto sous Windows.» Le bug est un zéro jour du DoS (déni de service) type.
Le bug signifie que «essentiellement tout ce qui fait Crypto dans Windows peut être bloquée (s / mime, authenticode, ipsec, iis, tout)", le chercheur a révélé dans une série de tweets. Apparemment, Microsoft est engagé à fixer dans 90 journées, mais il n'a toujours pas.
Initialement, la société a déclaré qu'ils aimeraient publier un bulletin pour la question, mais ont besoin jusqu'au 11 Juin. Ce jour la, cependant, Microsoft a noté que «le patch ne sera pas expédiés aujourd'hui". Un patch ne serait pas prêt avant la sortie Juillet en raison de problèmes rencontrés dans les essais.
En savoir plus sur le bug SymCrypt
Le problème se trouve dans Windows’ bibliothèque cryptographique noyau SymCrypt qui a été disponible pour les algorithmes symétriques depuis Windows 8. SymCrypt est également considéré comme la bibliothèque Crypto primaire pour les algorithmes asymétriques sur Windows 10 1703 construire.
Un rapport de bogue sur la question est maintenant disponible sur Chrome, après le délai de 90 jours a passé. C'est quoi le rapport de bogue dit:
Il y a un bogue dans les routines arithmétiques multi-précision SymCrypt qui peut provoquer une boucle infinie lors du calcul de l'inverse modulaire sur les modèles de bits spécifiques avec bcryptprimitives!SymCryptFdefModInvGeneric.
En outre, Ormandy a été en mesure de construire un certificat X.509 qui déclenche le bug. Le chercheur a également découvert que l'intégration du certificat dans un message S / MIME, signature authenticode, connexion schannel, volonté "DOS efficacement tout serveur Windows (e.g. ipsec, iis, échange, etc) et (en fonction du contexte) peut exiger que la machine soit redémarrée".
Étant donné que beaucoup de logiciels qui gère le contenu non sécurisé (tels que les programmes antivirus) appeler ces routines sur les données non fiables, cela leur causerait à une impasse.
Même si le bogue est faible gravité, il ne faut pas négliger. Un patch devrait être livré via Patch Tuesday de Juillet 2018.