Tavis Ormandy, ricercatore di sicurezza a Google Progetto Zero, ha “notato un bug in SymCrypt, la libreria di base che gestisce tutti i cripto su Windows.”Il bug è una zero-day del DoS (negazione del servizio) tipo.
Il bug che significa “in fondo tutto ciò che fa di crittografia in Windows può essere un punto morto (s / MIME, authenticode, IPSec, iis, qualunque cosa)", il ricercatore ha rivelato in una serie di tweets. Apparentemente, Microsoft è impegnata a fissare in 90 giorni, ma non ha ancora.
Inizialmente, l'azienda ha detto che vorrebbero emettere un bollettino per il rilascio, ma hanno bisogno fino a 11 giugno. In quel giorno, tuttavia, Microsoft ha osservato che “la patch non sarà disponibile oggi". Una patch non sarebbe stata pronta fino al rilascio luglio a causa di problemi rilevati in fase di test.
Maggiori informazioni sul bug SymCrypt
La questione si trova in Windows’ SymCrypt libreria crittografica di base che è stato disponibile per gli algoritmi simmetrici a partire da Windows 8. SymCrypt è anche considerato la libreria di crittografia principale per algoritmi asimmetrici su Windows 10 1703 costruire.
Un bug report in merito alla questione è ora disponibile su Chromium, dopo il termine di 90 giorni è passato. Questo è ciò la segnalazione di bug dice:
C'è un bug nella routine aritmetiche multi-precisione SymCrypt che può causare un ciclo infinito quando si calcola l'inverso modulare su modelli specifici bit con bcryptprimitives!SymCryptFdefModInvGeneric.
In aggiunta, Ormandy è stata in grado di costruire un certificato X.509 che fa scattare il bug. I ricercatori hanno anche scoperto che l'incorporamento il certificato in un messaggio S / MIME, firma authenticode, collegamento Schannel, volontà "Dos efficacemente qualsiasi server Windows (e.g. IPSec, iis, scambio, etc) e (a seconda del contesto) può richiedere il riavvio del computer".
Dal momento che un sacco di software che gestisce il contenuto non attendibile (come ad esempio programmi antivirus) chiamare queste routine sui dati non attendibile, questo causerebbe loro a un punto morto.
Anche se il bug è bassa gravità, non deve essere trascurato. Una patch è prevista per essere consegnato tramite luglio 2018 di Patch Martedì.