Một nhà nghiên cứu từ nhóm “Project Zero” của Google đã chia sẻ công khai lỗ hổng zero-day mà công ty đang nghiên cứu.
Tavis Ormandy từ Google, Windowsđã phát hiện ra lỗ hổng trong thư viện mật mã cốt lõi của . Ormandy, trong tweet của mình, giải thích rằng Microsoft không thể giải quyết vấn đề trong vòng 90 ngày, vì vậy tình hình hiện đã được công bố rộng rãi. Thông thường, Microsoft phải giải quyết vấn đề trong vòng 90 ngày. Vì vậy, họ hy vọng rằng sẽ có nhiều nguồn lực hơn được dành cho an ninh mạng.
Lỗ hổng này xảy ra do một lỗi trong thư viện có tên SymCrypt. Windows Chịu trách nhiệm về 10 thuật toán mã hóa bất đối xứng, thư viện này đi vào vòng lặp giao dịch vô tận khi buộc phải thông qua các chứng chỉ kỹ thuật số bị hỏng. Kết quả là có thể thực hiện một cuộc tấn công DoS (từ chối dịch vụ) ngay lập tức. Đặc biệt, các kết nối sử dụng giao thức IPsec trở nên dễ bị tấn công.
Ormandy cho biết nhiều phần mềm sẽ đánh dấu các tiến trình này là không đáng tin cậy và khiến chúng bị lỗi. Tuy nhiên, ông mô tả mức thâm hụt này là thâm hụt ở mức độ thấp. Nhà nghiên cứu, khoảng cách này WindowsÔng cho biết nó có thể được sử dụng để vô hiệu hóa một nhóm lớn máy tính một cách tương đối dễ dàng. Không dừng lại ở đó, Ormandy còn chứng minh việc sử dụng các chứng chỉ xấu thực sự gây ra lỗi DoS bằng phương pháp này.
Microsoft có thể giữ kín những lỗ hổng như vậy trong 90 ngày. Ormandy đã báo cáo lỗ hổng này vào giữa tháng 3. Microsoft cũng thừa nhận đã xảy ra sự cố như vậy vào ngày 26/3 và bắt đầu nỗ lực giải quyết vấn đề.
Nguồn: https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-trước-microsoft-can-fix-it/#5e170dc72fd6
