Microsoft non riesce a Patch Zero-Day Bug in Windows SymCrypt
CYBER NEWS

Microsoft non riesce a Patch Zero-Day Bug in Windows SymCrypt

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...


Tavis Ormandy, ricercatore di sicurezza a Google Progetto Zero, ha “notato un bug in SymCrypt, la libreria di base che gestisce tutti i cripto su Windows.”Il bug è una zero-day del DoS (negazione del servizio) tipo.




Il bug che significa “in fondo tutto ciò che fa di crittografia in Windows può essere un punto morto (s / MIME, authenticode, IPSec, iis, qualunque cosa)", il ricercatore ha rivelato in una serie di tweets. Apparentemente, Microsoft è impegnata a fissare in 90 giorni, ma non ha ancora.

Inizialmente, l'azienda ha detto che vorrebbero emettere un bollettino per il rilascio, ma hanno bisogno fino a 11 giugno. In quel giorno, tuttavia, Microsoft ha osservato che “la patch non sarà disponibile oggi". Una patch non sarebbe stata pronta fino al rilascio luglio a causa di problemi rilevati in fase di test.

Maggiori informazioni sul bug SymCrypt

La questione si trova in Windows’ SymCrypt libreria crittografica di base che è stato disponibile per gli algoritmi simmetrici a partire da Windows 8. SymCrypt è anche considerato la libreria di crittografia principale per algoritmi asimmetrici su Windows 10 1703 costruire.

Un bug report in merito alla questione è ora disponibile su Chromium, dopo il termine di 90 giorni è passato. Questo è ciò la segnalazione di bug dice:

C'è un bug nella routine aritmetiche multi-precisione SymCrypt che può causare un ciclo infinito quando si calcola l'inverso modulare su modelli specifici bit con bcryptprimitives!SymCryptFdefModInvGeneric.

In aggiunta, Ormandy è stata in grado di costruire un certificato X.509 che fa scattare il bug. I ricercatori hanno anche scoperto che l'incorporamento il certificato in un messaggio S / MIME, firma authenticode, collegamento Schannel, volontà "Dos efficacemente qualsiasi server Windows (e.g. IPSec, iis, scambio, etc) e (a seconda del contesto) può richiedere il riavvio del computer".

Correlata: Google ProjectZero Perplesso da Microsoft, CVE-2017-0037 Still Not rattoppato

Dal momento che un sacco di software che gestisce il contenuto non attendibile (come ad esempio programmi antivirus) chiamare queste routine sui dati non attendibile, questo causerebbe loro a un punto morto.

Anche se il bug è bassa gravità, non deve essere trascurato. Una patch è prevista per essere consegnato tramite luglio 2018 di Patch Martedì.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...