Blog

SymCrypt zaifligi uchun tuzatish iyulgacha chiqarilmaydi.

Google Project Zero xavfsizlik tadqiqotchisi Tavis Ormandi Windows kriptografik kutubxonasidagi zaiflik tafsilotlarini ma’lum qildi. Muammo Windows 8 dan boshlanadigan OS versiyalariga ta’sir qiladi va har qanday Windows serverida xizmatni rad etishga imkon beradi. Zaiflik SymCrypt’ga ta’sir qiladi, Microsoft’ning ochiq manbali loyihasi Windows 8’dan boshlab simmetrik algoritmlar uchun uning asosiy kriptografik kutubxonasiga aylandi. Windows 10’da (1703) SymCrypt ham assimetrik algoritmlar uchun asosiy kutubxona hisoblanadi.

Ormandy X.509 sertifikatini yaratdi, bu zaiflikni keltirib chiqardi va har qanday Windows serverida xizmat ko’rsatishni rad etishga olib keldi. Bu server funksiyalarini tiklash uchun qayta ishga tushirishni talab qiladi.

«SymCrypt’ning yuqori aniqlikdagi arifmetik jarayonlarida zaiflik mavjud bo’lib, u bcryptprimitives! SymCryptFdefModInvGeneric bilan ma’lum bit naqshlarida modul inversiyasini hisoblashda cheksiz tsiklni ishga tushirishi mumkin», deb tushuntirdi tadqiqotchi.

Google’ning Project Zero siyosatiga ko‘ra, Microsoft’ga zaiflikni tuzatish uchun 90 kun vaqt berildi. Biroq, ZDNet xabar berishicha, 11-iyun, seshanba kuni Microsoft Security Response Center (MSRC) jamoasi Google’ga sinov paytida aniqlangan muammolar tufayli iyul oyiga mo‘ljallangan xavfsizlik yangilanishlaridan oldin tuzatishni chiqara olmasligi haqida xabar berdi.

Yana bir bor, muammo Windowsning xavfsizlik echimlari bilan o’zaro ta’siridan kelib chiqdi. Ormandy aniqlaganidek, sertifikatni S/MIME xabariga, Authenticode kodini imzolash texnologiyasiga, aloqa kanaliga va boshqalarga kiritish serverga (IPSec, IIS, Exchange va boshqalar) xizmat ko’rsatishni rad etishga olib kelishi mumkin.

«Ishonchsiz kontent bilan ishlaydigan ko’plab dasturlar (masalan, antivirus dasturlari) bu jarayonlarni ishonchsiz ma’lumotlar deb atashi va bu ularning o’zaro bloklanishiga olib kelishi aniq», dedi tadqiqotchi.