Microsoft ne parvient pas à Patch Bug Zero-Day dans Windows SymCrypt
CYBER NOUVELLES

Microsoft ne parvient pas à Patch Bug Zero-Day dans Windows SymCrypt

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...


Tavis Ormandy, chercheur en sécurité au projet de Google Zéro, a "remarqué un bug dans SymCrypt, la bibliothèque de base qui gère toutes les Crypto sous Windows.» Le bug est un zéro jour du DoS (déni de service) type.




Le bug signifie que «essentiellement tout ce qui fait Crypto dans Windows peut être bloquée (s / mime, authenticode, ipsec, iis, tout)", le chercheur a révélé dans une série de tweets. Apparemment, Microsoft est engagé à fixer dans 90 journées, mais il n'a toujours pas.

Initialement, la société a déclaré qu'ils aimeraient publier un bulletin pour la question, mais ont besoin jusqu'au 11 Juin. Ce jour la, cependant, Microsoft a noté que «le patch ne sera pas expédiés aujourd'hui". Un patch ne serait pas prêt avant la sortie Juillet en raison de problèmes rencontrés dans les essais.

En savoir plus sur le bug SymCrypt

Le problème se trouve dans Windows’ bibliothèque cryptographique noyau SymCrypt qui a été disponible pour les algorithmes symétriques depuis Windows 8. SymCrypt est également considéré comme la bibliothèque Crypto primaire pour les algorithmes asymétriques sur Windows 10 1703 construire.

Un rapport de bogue sur la question est maintenant disponible sur Chrome, après le délai de 90 jours a passé. C'est quoi le rapport de bogue dit:

Il y a un bogue dans les routines arithmétiques multi-précision SymCrypt qui peut provoquer une boucle infinie lors du calcul de l'inverse modulaire sur les modèles de bits spécifiques avec bcryptprimitives!SymCryptFdefModInvGeneric.

En outre, Ormandy a été en mesure de construire un certificat X.509 qui déclenche le bug. Le chercheur a également découvert que l'intégration du certificat dans un message S / MIME, signature authenticode, connexion schannel, volonté "DOS efficacement tout serveur Windows (e.g. ipsec, iis, échange, etc) et (en fonction du contexte) peut exiger que la machine soit redémarrée".

en relation:
CVE-2017-0037, trouvé par ProjectZero, permettrait l'exécution de code à distance où les attaquants pourraient bloquer les navigateurs et exécuter du code arbitraire.
ProjectZero Perplexe de Google par Microsoft, CVE-2017-0037 Still Not Patched

Étant donné que beaucoup de logiciels qui gère le contenu non sécurisé (tels que les programmes antivirus) appeler ces routines sur les données non fiables, cela leur causerait à une impasse.

Même si le bogue est faible gravité, il ne faut pas négliger. Un patch devrait être livré via Patch Tuesday de Juillet 2018.

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...