明升ms88社区

 找回暗码
 注册
明升ms88社区 主页 IT归纳资讯 检查内容

Google研究员发表Windows 10 0day缝隙

2019-6-13 09:58| 发布者: joejoe0332| 检查: 313| 谈论: 0|原作者: oschina|来自: oschina

摘要: 安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,担任寻觅 0day 缝隙。他揭露了一个可利用的 Windows 缝隙,现在,微软仍处于修正过程中。Tavis Ormandy 发推文说他现已发现了 Windows 中心加密库 ...

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,担任寻觅 0day 缝隙。他揭露了一个可利用的 Windows 缝隙,现在,微软仍处于修正过程中。

Tavis Ormandy 发推文说他现已发现了 Windows 中心加密库的安全问题,“微软许诺在 90 天内修正它,成果没有”。所以在第 91 天,Ormandy 挑选了揭露这个缝隙。

该缝隙实际上是 SymCrypt 中的一个过错,SymCrypt 是担任在 Windows 10 中完成非对称加密算法和在 Windows 8 中完成对称加密算法的中心加密库。Ormandy 发现,经过运用格局过错的数字证书,他能够逼迫 SymCrypt 核算进入无限循环。这将有效地对 Windows 服务器履行拒绝服务(DoS)进犯,例如,运转运用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。

Ormandy 还指出,“许多处理不受信赖内容的软件(如防病毒软件)会在不受信赖的数据上调用这些例程,这将导致它们堕入僵局。”

不过,他仍是将其评为低严重性缝隙,一起弥补说,该缝隙能够让人相对轻松地撤除整个 Windows 机群,因而值得注意。

Ormandy 发布的布告供给了缝隙的详细信息,以及或许导致拒绝服务的格局过错的证书示例。

如前所述,Project Zero 有 90 天的发表截止日期。Ormandy 于 3 月 13 日初次陈述此缝隙,然后在 3 月 26 日,微软承认将发布安全布告,并在 6 月 11 日的 Patch Tuesday 中对此进行修正。Ormandy 以为,“这是 91 天,但在延伸期内,所以它是能够承受的。”

6 月 11 日,微软安全呼应中心(MSRC)表明“该修补程序今日不会发布,而且因为测验中发现问题,在 7 月发布之前也不会修补好”,所以 Ormandy 揭露了这个缝隙。

揭露的缝隙地址:https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

消息来源:Forbes

  • 快毕业了,没作业经验,
    找份作业好难啊?
    赶忙去人才芯片公司锻炼吧!!

最新谈论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|明升ms88社区 ( 浙B2-20090187  

回来顶部