640?wx_fmt=gif

今年3月,Google员工Tavis Ormandy‏曾对外披露了Chrome浏览器中存在的零日漏洞——该漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据,彼时Google官方曾表示修复方案会在4月底发布。

然而在 90 天的修复截止日期后,微软安全响应中心(MSRC)却在6月11日表示“由于测试中发现问题,在7月前也不会修补好”,于是Ormandy在近日选择公开了零日漏洞隐藏的一个新Bug:该漏洞可以让黑客们轻松地拆除整个Windows机群,且微软仍处于可能被攻击的状态!

640?wx_fmt=jpeg

作者 | Davey Winder

译者 | 虎说,责编 | 郭芮

出品 | CSDN(ID:CSDNnews)

以下为译文:

Tavis Ormandy是Google“Project Zero”团队的一名安全研究人员,该团队主要负责寻找零日漏洞。近期,其公开了一个可被黑客利用的Windows漏洞(https://bugs.chromium.org/p/project-zero/issues/detail?id=1804)。而截止发稿时,微软仍处于可能被攻击的状态。

 

Tavis Ormandy发推文说他已经发现了Windows核心加密库的安全问题,并在推文中提到“微软曾经承诺在90天内修复它,但是并没有兑现。”“由于没有兑现当初的承诺,并且为了鼓励寻找更多的安全大牛来解决这个软件安全问题,所以才会将问题公开。”

 

640?wx_fmt=png

 

 

640?wx_fmt=png

什么漏洞?

 

 

这个漏洞实际上是SymCrypt中的一个错误。

 

SymCrypt是负责在Windows 10中实现非对称加密算法和Windows 8中的对称加密算法的核心加密库。Ormandy发现,通过使用格式错误的数字证书,他可以强制SymCrypt算法进入无限循环。这将有效地对Windows服务器执行拒绝服务(DoS)攻击,例如运行使用VPN或Microsoft Exchange Server进行电子邮件和日历时所需的IPsec协议的服务。

 

Ormandy还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入死循环。”尽管如此,他还是将其视为低严重性漏洞,同时补充说:“你可以相对轻松地攻破整个Windows机群,因此应该值得注意。”Ormandy发布的公告还提供了漏洞的详细信息以及可能导致拒绝服务的示例格式错误的证书形式的概念验证。

 

 

640?wx_fmt=png

为什么现在发布漏洞?

 

 

如前所述,Project Zero有90天的披露截止日期,这种机制同样适用于此漏洞。Ormandy于3月13日首次报道,然后在3月26日,微软确认并且发布安全公告,并在6月11日上线补丁对此进行了修复。

 

Ormandy指出,“我认为微软还是没有履行90天内修复漏洞的承诺,但是目前的延长期还是可以接受的。”但是到了6月11日,Ormandy得知微软安全响应中心(MSRC)已经决定,修补程序今天不会发布,而且由于测试中发现了诸多问题,甚至到了7月份也有可能发布不了!因为上述的种种原因,所以Ormandy选择公开了这个漏洞。

 

 

640?wx_fmt=png

安全社区对此事件的想法是什么?

 

 

我找到了一个备受尊敬的信息安全专业人士The Beer Farmers,并且在最近的BSides伦敦会议上看到了他对此的看法。

 

John Opdenakker表示,“一般情况下,如果你私下向公司披露漏洞并且公司同意在合理的时间内修复漏洞,我认为如果他们没有按时修复漏洞,公平披露它是公平的。”而另外一个专业人士Mike Thompson不同意这一点,他告诉我,“如果供应商已经承认了这个错误,并承诺会在不久的将来修复它,但需要更多的时间,那么全面披露可能不是一个合理的举动。这可能会让Adobe和微软失去信誉,对它们的品牌塑造也会造成打击。”

 

 

640?wx_fmt=png

我对这件事怎么想?

 

 

披露截止日期会给组织带来压力,并且促使他们迅速修复安全漏洞。毕竟,在研究人员披露这些漏洞后,有太多的漏洞被遗漏了。不得不说,谷歌不能因为某些特权而逃避批评。

 

虽然在发现和修复漏洞时,Chrome等产品会根据需要不断更新,但这并不适用于所有的Google产品,比如Gmail和谷歌日历的安全问题就是一个很好的例子。我在2017年首次向Google报告,但是,我报告的安全问题今天仍然存在。

 

回到Microsoft Windows问题,Project Zero认为90天的时间,可以让微软这样规模的拥有充足资源的组织实现修复并完成所有测试。不得不说的是,微软最近有很多坏消息是由于更新补丁导致Windows 10出现漏洞甚至破坏其他Windows安全功能。

 

在这种情况下,微软希望在发布修复程序之前做到完美是可以理解的,但是就我个人认为,微软有足够的时间对问题进行排查和测试。如果微软需要更多的时间来处理在测试过程中出现的问题,我认为这是完全不合理的。 

 

原文:https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-before-microsoft-can-fix-it/#3b6528542fd6

本文为 CSDN 翻译,转载请注明来源出处。


python到底值不值得学?

https://edu.csdn.net/topic/python115?utm_source=csdn_bw

 

 【End】

大会开幕倒计时10天!

2019以太坊技术及应用大会特邀以太坊创始人V神与众多海内外知名技术专家齐聚北京,聚焦区块链技术,把握时代机遇,深耕行业应用,共话以太坊2.0新生态。

扫码或点击阅读原文,既享优惠购票!

640?wx_fmt=jpeg

 热 文 推 荐 

5G 时代连接 70 亿人,安全如何保障?

☞美国拟立法不承认华为专利?华为将发布7nm麒麟处理器;FB加密货币引全球担忧 | 极客头条

Java 13 发布进入倒计时!

不是码农,不会敲代码的她,却最懂程序员!| 人物志

10分钟读懂什么是容器云?

第二! 他排中本聪与V神中间, 单靠文字就“打败”了敲代码的程序员!

不让华为收专利费?美议员提案“秀下限”

直播写代码|英伟达工程师亲授如何加速YOLO目标检测

她说:程序员离开电脑就是 “废物” !

640?wx_fmt=gif点击阅读原文,既享优惠购票!

640?wx_fmt=png你点的每个“在看”,我都认真当成了喜欢

Logo

20年前,《新程序员》创刊时,我们的心愿是全面关注程序员成长,中国将拥有新一代世界级的程序员。20年后的今天,我们有了新的使命:助力中国IT技术人成长,成就一亿技术人!

更多推荐