Tavis Ormandy, security-onderzoeker bij Google's Project Zero, heeft “merkte een bug in SymCrypt, de kern bibliotheek die alle crypto op Windows omgaat.”De bug is een zero-day van de DoS (denial-of-service) type.
De bug betekent dat “eigenlijk alles dat doet crypto in Windows kan worden impasse (S / MIME, Authenticode, ipsec, iis, alles)", de onderzoeker onthuld in een serie tweets. Blijkbaar, Microsoft zet zich in voor de vaststelling van het in 90 dagen, maar het heeft nog steeds niet.
Aanvankelijk, het bedrijf zei dat ze graag een bulletin uit te geven voor de afgifte, maar moeten tot en met 11 juni. Op die dag, echter, Microsoft merkte op dat “de patch zal niet verzenden vandaag". Een patch zou niet klaar tot het jaar in juli te wijten zijn aan problemen die zijn gevonden bij het testen.
Meer over de SymCrypt bug
Het probleem bevindt zich in Windows’ SymCrypt kern cryptografische bibliotheek die voor symmetrische algoritmen sinds Windows beschikbaar is geweest 8. SymCrypt wordt ook beschouwd als de primaire crypto bibliotheek voor asymmetrische algoritmen op het Windows 10 1703 bouwen.
Een bug report over de kwestie is nu beschikbaar op Chromium, na de termijn van 90 dagen is verstreken. Dit is wat de bug report zegt:
Er is een fout in de SymCrypt meerdere precisie rekenkundige routines die een oneindige lus veroorzaken bij het berekenen van de modulaire inverse specifieke bitpatronen met bcryptprimitives!SymCryptFdefModInvGeneric.
Bovendien, Ormandy staat is geweest om een X.509-certificaat dat de bug triggers construeren. De onderzoeker ontdekte ook dat het inbedden van het certificaat in een S / MIME-bericht, handtekening Authenticode, SChannel verbinding, zullen "effectief dos elke Windows-server (b.v.. ipsec, iis, uitwisseling, etc) en (afhankelijk van de context) kan de machine moeten worden opgestart".
Aangezien veel van de software die niet-vertrouwde inhoud handvatten (zoals antivirusprogramma's) noemen deze routines op onbetrouwbare gegevens, Dit zou ervoor zorgen dat ze tot een impasse.
Hoewel de bug is laag in ernst, het moet niet worden vergeten. Een patch is naar verwachting via juli 2018 van Patch Tuesday te leveren.