Tavis Ormandy, pesquisador de segurança da Zero Projeto do Google, tem “notou um bug no SymCrypt, a biblioteca principal que lida com todas as criptografias no Windows.”O bug é um dia zero do DoS (negação de serviço) tipo.
O bug significa que “basicamente qualquer coisa que faça criptografia no Windows pode ser bloqueada (s / mime, Authenticode, ipsec, iis, tudo)”, o pesquisador revelou em uma série de tweets. Pelo visto, A Microsoft se comprometeu a consertá-lo em 90 dias, mas ainda não.
Inicialmente, a empresa disse que gostaria de lançar um boletim sobre o assunto, mas preciso até 11 de junho. Naquele dia, Contudo, A Microsoft observou que “o patch não será lançado hoje”. Um patch não estaria pronto até o lançamento de julho devido a problemas encontrados nos testes.
Mais sobre o bug SymCrypt
O problema está localizado no Windows’ Biblioteca criptográfica central SymCrypt que está disponível para algoritmos simétricos desde o Windows 8. SymCrypt também é considerado a biblioteca de criptografia primária para algoritmos assimétricos no Windows 10 1703 Construir.
Um relatório de bug sobre o problema já está disponível no Chromium, após o prazo de 90 dias ter passado. Isso é o que o relatório de bug diz:
Há um bug nas rotinas aritméticas de multiprecisão do SymCrypt que pode causar um loop infinito ao calcular o inverso modular em padrões de bits específicos com bcryptprimitivos!SymCryptFdefModInvGeneric.
além do que, além do mais, Ormandy foi capaz de construir um certificado X.509 que dispara o bug. O pesquisador também descobriu que incorporar o certificado em uma mensagem S / MIME, assinatura de authenticode, conexão schannel, vai "Efetivamente DoS qualquer servidor Windows (por exemplo. ipsec, iis, troca, etc) e (dependendo do contexto) pode exigir que a máquina seja reinicializada”.
Uma vez que muitos softwares que lidam com conteúdo não confiável (como programas antivírus) chamar essas rotinas em dados não confiáveis, isso faria com que eles travassem.
Mesmo que o bug seja de baixa gravidade, não deve ser esquecido. Espera-se que um patch seja entregue por meio da Patch Tuesday de julho de 2018.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: