Команда проекта Google Zero в безопасности, решил раскрыть подробности отказу в обслуживании (DOS) ошибка в Windows, после того, как Microsoft заявила, что предоставит патч за пределами 90-дневного срока раскрытия информации.

Проект нуля поднял завесу над изъян, 91 день после того, как она была раскрыта в Microsoft.

Ошибка встречается в криптографический интерфейс программирования приложений Windows, затрагивающих SymCrypt библиотека арифметических подпрограмм, проектов ноль исследователь Тавис Орманди заявил.

Построив специальный цифровой сертификат X. 509, можно вызвать бесконечный цикл при вычислении определенных битовых шаблонов.

Орманди заявил он сумел встроить мины-ловушки сертификата на S/MIME подписанных сообщений, подписи, подключения schannel и другие аутентификации и шифрования сообщений, а тупик любого сервера Windows.

Этот недостаток может быть использован для эффективного DOS компьютеров, добавил он. Выход из бесконечного цикла может потребовать атакован машина была перезагружена.

В то время как Орманди считает баг небольшой тяжести, он добавил, что злоумышленник “может снять с электроприводом флот довольно быстро с ним”.

Проект Ноль сообщили брешь в Microsoft 19 марта текущего года. Однако, научно-исследовательский центр безопасности Microsoft заявил, исправление ошибки не будет в очередной на этой неделе патч в среду, хотя она изначально стремится к решению проблемы в течение 90 дней.

Вместо этого, исправление появится в июле как Microsoft нашли проблемы с патчем в тестировании.

Орманди был подвергнут критике другими исследователями безопасности для выпуска детали, в том числе справка о концепции, 91 день после даты раскрытия, а не позволяя Майкрософт для проведения дополнительной проверки.

Проект Ноль исследователь защитил решение о выпуске сведения об ошибке, говоря, что фирма 90-дневные сроки до публичного раскрытия информации привела к Microsoft и других крупных софтверных фиксации недостатков намного быстрее, чем в прошлом.

Если корпорация Майкрософт обязуется устранить недостаток в течение 120 дней, проект Ноль продлила бы срок, прежде чем раскрывать детали ошибка, – сказал он.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here