| 新聞中(zhōng)心 |
|
|
|
| 聯系我(wǒ)(wǒ)們 |
深圳市谷殼智能網絡科技有限公司
地址:惠州市麥地路58号風尚國際9H
電話(huà):0752-3321939
手機:131 3838 4422(業務聯系)
業務QQ:448644237
|
|
|
|
| ·當前位置:首頁 > 新聞中(zhōng)心 > 行業動态 > 内容 |
|
| Google 研究員(yuán)披露 Windows 10 0day 漏洞 |
|
| 發布時間:2019/6/13 15:30:08 點擊:1863次 |
|
安全研究員(yuán) Tavis Ormandy 是谷歌 “Project Zero” 團隊的一(yī)員(yuán),負責尋找 0day 漏洞。他公開(kāi)了一(yī)個可利用的 Windows 漏洞,目前,微軟仍處于修複過程中(zhōng)。Tavis Ormandy 發推文說他已經發現了 Windows 核心加密庫的安全問題,“微軟承諾在 90 天内修複它,結果沒有”。于是在第 91 天,Ormandy 選擇了公開(kāi)這個漏洞。
該漏洞實際上是 SymCrypt 中(zhōng)的一(yī)個錯誤,SymCrypt 是負責在 Windows 10 中(zhōng)實現非對稱加密算法和在 Windows 8 中(zhōng)實現對稱加密算法的核心加密庫。Ormandy 發現,通過使用格式錯誤的數字證書(shū),他可以強迫 SymCrypt 計算進入無限循環。這将有效地對 Windows 服務器執行拒絕服務(DoS)攻擊,例如,運行使用 VPN 或 Microsoft Exchange Server 進行電子郵件和日曆時所需的 IPsec 協議的服務。
Ormandy 還指出,“許多處理不受信任内容的軟件(如防病毒軟件)會在不受信任的數據上調用這些例程,這将導緻它們陷入僵局。”
不過,他還是将其評爲低嚴重性漏洞,同時補充說,該漏洞可以讓人相對輕松地拆除整個 Windows 機群,因此值得注意。
Ormandy 發布的公告提供了漏洞的詳細信息,以及可能導緻拒絕服務的格式錯誤的證書(shū)示例。
如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次報告此漏洞,然後在 3 月 26 日,微軟确認将發布安全公告,并在 6 月 11 日的 Patch Tuesday 中(zhōng)對此進行修複。Ormandy 認爲,“這是 91 天,但在延長期内,所以它是可以接受的。”
6 月 11 日,微軟安全響應中(zhōng)心(MSRC)表示“該修補程序今天不會發布,并且由于測試中(zhōng)發現問題,在 7 月發布之前也不會修補好”,于是 Ormandy 公開(kāi)了這個漏洞。
公開(kāi)的漏洞地址:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804
著作權歸作者所有。來源:站長之家
|
|
|
|
|
|
| 【關閉本頁】【返回頁頂】 |
|
|
|
|
行業動态
