正在阅读:Google研究员披露Windows10 0day漏洞!Google研究员披露Windows10 0day漏洞!

2019-06-13 17:48 出处:其他 作者:PConline 责任编辑:wuyiying1

  [PConline资讯]安全研究员 TavisOrmandy是谷歌“ProjectZero”团队的一员,负责寻找0day漏洞。他公开了一个可利用的Windows漏洞,目前,微软仍处于修复过程中。TavisOrmandy发推文说他已经发现了Windows核心加密库的安全问题,“微软承诺在90天内修复它,结果没有”。于是在第91天,Ormandy选择了公开这个漏洞。

  该漏洞实际上是SymCrypt中的一个错误,SymCrypt是负责在 Windows 10中实现非对称加密算法和在Windows8中实现对称加密算法的核心加密库。Ormandy发现,通过使用格式错误的数字证书,他可以强迫SymCrypt计算进入无限循环。这将有效地对Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用VPN或MicrosoftExchangeServer进行电子邮件和日历时所需的IPsec协议的服务。

  Ormandy还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。”

  不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个Windows机群,因此值得注意。

  Ormandy发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。

  如前所述,ProjectZero有90天的披露截止日期。Ormandy于3月13日首次报告此漏洞,然后在3月26日,微软确认将发布安全公告,并在6月11日的PatchTuesday中对此进行修复。Ormandy认为,“这是91天,但在延长期内,所以它是可以接受的。”

  6月11日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在7月发布之前也不会修补好”,于是Ormandy公开了这个漏洞。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品