Tavis Ormandy, security-onderzoeker bij Google's Project Zero, heeft “merkte een bug in SymCrypt, de kern bibliotheek die alle crypto op Windows omgaat.”De bug is een zero-day van de DoS (denial-of-service) type.
De bug betekent dat “eigenlijk alles dat doet crypto in Windows kan worden impasse (S / MIME, Authenticode, ipsec, iis, alles)", de onderzoeker onthuld in een serie tweets. Blijkbaar, Microsoft zet zich in voor de vaststelling van het in 90 dagen, maar het heeft nog steeds niet.
Aanvankelijk, het bedrijf zei dat ze graag een bulletin uit te geven voor de afgifte, maar moeten tot en met 11 juni. Op die dag, echter, Microsoft merkte op dat “de patch zal niet verzenden vandaag". Een patch zou niet klaar tot het jaar in juli te wijten zijn aan problemen die zijn gevonden bij het testen.
Meer over de SymCrypt bug
Het probleem bevindt zich in Windows’ SymCrypt kern cryptografische bibliotheek die voor symmetrische algoritmen sinds Windows beschikbaar is geweest 8. SymCrypt wordt ook beschouwd als de primaire crypto bibliotheek voor asymmetrische algoritmen op het Windows 10 1703 bouwen.
Een bug report over de kwestie is nu beschikbaar op Chromium, na de termijn van 90 dagen is verstreken. Dit is wat de bug report zegt:
Er is een fout in de SymCrypt meerdere precisie rekenkundige routines die een oneindige lus veroorzaken bij het berekenen van de modulaire inverse specifieke bitpatronen met bcryptprimitives!SymCryptFdefModInvGeneric.
Bovendien, Ormandy staat is geweest om een X.509-certificaat dat de bug triggers construeren. De onderzoeker ontdekte ook dat het inbedden van het certificaat in een S / MIME-bericht, handtekening Authenticode, SChannel verbinding, zullen "effectief dos elke Windows-server (b.v.. ipsec, iis, uitwisseling, etc) en (afhankelijk van de context) kan de machine moeten worden opgestart".
Aangezien veel van de software die niet-vertrouwde inhoud handvatten (zoals antivirusprogramma's) noemen deze routines op onbetrouwbare gegevens, Dit zou ervoor zorgen dat ze tot een impasse.
Hoewel de bug is laag in ernst, het moet niet worden vergeten. Een patch is naar verwachting via juli 2018 van Patch Tuesday te leveren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: