テイビス・オーマンディ, GoogleのProjectZeroのセキュリティ研究者, もっている "SymCryptのバグに気づきました, Windows上のすべての暗号を処理するコアライブラリ.」バグはDoSのゼロデイです (サービス拒否) タイプ.
バグは「基本的に、Windowsで暗号化を行うものはすべてデッドロックする可能性があります (s / mime, authenticode, ipsec, iis, すべての)」, で明らかにした研究者 一連のツイート. どうやら, マイクロソフトはそれを修正することを約束しました 90 日々, しかし、それはまだしていません.
最初は, 同社は、この問題に関する速報を発行したいと述べた。, しかし、6月11日まで必要です. その日に, でも, マイクロソフトは次のように述べています。パッチは本日出荷されません」. テストで問題が見つかったため、パッチは7月のリリースまで準備ができていませんでした.
SymCryptバグの詳細
問題はWindowsにあります’ Windows以降対称アルゴリズムで使用できるSymCryptコア暗号化ライブラリ 8. SymCryptは、Windowsの非対称アルゴリズムの主要な暗号ライブラリとも見なされます 10 1703 建てる.
この問題に関するバグレポートがChromiumで利用できるようになりました, 90日の期限が過ぎた後. これは何 バグレポート 言う:
SymCryptの多倍長演算ルーチンにバグがあり、bcryptprimitivesを使用して特定のビットパターンでモジュラ逆数を計算するときに無限ループが発生する可能性があります。!SymCryptFdefModInvGeneric.
加えて, Ormandyは、バグをトリガーするX.509証明書を作成することができました. 研究者はまた、S/MIMEメッセージに証明書を埋め込むことを発見しました, authenticationode署名, schannel接続, 意思 "効果的に任意のWindowsサーバーをDoS (例えば. ipsec, iis, 両替, 等) と (状況に応じて) マシンの再起動が必要になる場合があります」.
信頼できないコンテンツを処理するソフトウェアがたくさんあるので (ウイルス対策プログラムなど) 信頼できないデータに対してこれらのルーチンを呼び出す, これにより、デッドロックが発生します.
バグの重大度は低いですが, 見落としてはいけません. パッチは、2018年7月のパッチ火曜日に配信される予定です。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: