惠州市嘉惠网络科技有限公司

新闻中心
行业动态
嘉惠动态
常见问题
行者文苑
联系我们
惠州市嘉惠网络科技有限公司

地址:惠州市麦地路58号风尚国际9H 

电话:0752-3321939

手机:139-2832-8344(业务联系)

业务QQ:448644237
 ·当前位置:首页 > 新闻中心 > 行业动态 > 内容 
Google 研究员披露 Windows 10 0day 漏洞

发布时间:2019/6/13 15:30:08  点击:207次

      安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。


      该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。

      Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。”

      不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。

      Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。

      如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。”

      6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。

      公开的漏洞地址:

      https://bugs.chromium.org/p/project-zero/issues/detail?id=1804


      著作权归作者所有。来源:站长之家

·上一篇:郭明錤:鸿蒙手机预计10月出货 华.. ·下一篇:网站的不合理主要表现在哪几个方..
关闭本页】【返回页顶
首页  |  关于我们  |  网站设计  |  网络推广  |  小程序商城  |  阿里运营  |  百度名人  |  成功案例  |  支付方式  |  人才招聘  |  联系我们  |  新闻中心  |  县区分站


惠州嘉惠网路有限公司@版权所有 | 粤ICP备13083718号-1


公司地址:惠州市惠城区麦地路58路风尚国际9H

服务热线:400 0752 295 | 业务电话:13928328344



在线客服

售前咨询:

售前咨询:

售前咨询:

售前咨询:

售后服务: