| 新聞中心 |
 行業(yè)動態(tài) |
|
| 嘉惠動態(tài) |
|
| 常見問題 |
|
| 行者文苑 |
|
|
|
| 聯系我們 |
惠州市嘉惠網絡科技有限公司
地址:惠州市麥地路58號風尚國際9H
電話:0752-3321939
手機:131 3838 4422(業(yè)務聯系)
業(yè)務QQ:448644237
|
|
|
|
| ·當前位置:首頁 > 新聞中心 > 行業(yè)動態(tài) > 內容 |
|
| Google 研究員披露 Windows 10 0day 漏洞 |
|
| 發(fā)布時間:2019/6/13 15:30:08 點擊:2141次 |
|
安全研究員 Tavis Ormandy 是谷歌 “Project Zero” 團隊的一員���,負責尋找 0day 漏洞�。他公開了一個可利用的 Windows 漏洞,目前�����,微軟仍處于修復過程中�。Tavis Ormandy 發(fā)推文說他已經發(fā)現了 Windows 核心加密庫的安全問題�,“微軟承諾在 90 天內修復它���,結果沒有”�����。于是在第 91 天���,Ormandy 選擇了公開這個漏洞。
該漏洞實際上是 SymCrypt 中的一個錯誤�����,SymCrypt 是負責在 Windows 10 中實現非對稱加密算法和在 Windows 8 中實現對稱加密算法的核心加密庫�。Ormandy 發(fā)現,通過使用格式錯誤的數字證書���,他可以強迫 SymCrypt 計算進入無限循環(huán)���。這將有效地對 Windows 服務器執(zhí)行拒絕服務(DoS)攻擊,例如�,運行使用 VPN 或 Microsoft Exchange Server 進行電子郵件和日歷時所需的 IPsec 協議的服務。
Ormandy 還指出,“許多處理不受信任內容的軟件(如防病毒軟件)會在不受信任的數據上調用這些例程�,這將導致它們陷入僵局�!
不過,他還是將其評為低嚴重性漏洞���,同時補充說�����,該漏洞可以讓人相對輕松地拆除整個 Windows 機群���,因此值得注意。
Ormandy 發(fā)布的公告提供了漏洞的詳細信息�����,以及可能導致拒絕服務的格式錯誤的證書示例�����。
如前所述���,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次報告此漏洞,然后在 3 月 26 日�����,微軟確認將發(fā)布安全公告�,并在 6 月 11 日的 Patch Tuesday 中對此進行修復。Ormandy 認為�,“這是 91 天,但在延長期內�����,所以它是可以接受的����������!
6 月 11 日�,微軟安全響應中心(MSRC)表示“該修補程序今天不會發(fā)布,并且由于測試中發(fā)現問題���,在 7 月發(fā)布之前也不會修補好”�����,于是 Ormandy 公開了這個漏洞���。
公開的漏洞地址:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804
著作權歸作者所有���。來源:站長之家
|
|
|
|
|
|
| 【關閉本頁】【返回頁頂】 |
|
|
|
|
