Tavis Ormandy, istraživač koji sudjeluje u Googleovom projektu Zero (a čija je zadaća otkrivati ranjivosti nultog dana, objavio je sigurnosni propust u operativnom sustavu Windows kojeg je moguće zlorabiti, a kojeg u Microsoftu još nisu zakrpali.
Tavis Ormandy je propust objavio na Twitteru nakon što su se u Microsoftu obvezali kako će ga riješiti u roku od 90 dana, pa to nisu učinili, prenosi tportal.
I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.
— Tavis Ormandy (@taviso) June 11, 2019
Riječ je o bugu u SymCryptu koji, kraće rečeno, omogućava napade denial-of-service (DoS) na poslužitelje s Windowsima koji vrte protokole IPsec potrebne za virtualne privatne mreže ili za Microsoft Exchange Server (za e-poštu ili kalendar, primjerice).
Riječ je o tipu napada za koji je malo vjerojatno kako će pogoditi privatne korisnike.
Ormandy je nadležne u Microsoftu na propust prvo upozorio 13. ožujka ove godine, Trinaest dana kasnije iz te je tvrtke stigla potvrda kako će izdati sigurnosno upozorenje i zakrpu skupa sa softverskom nadogradnjom najavljenom za 11. lipnja.
Ali, kad je taj datum došao i prošao iz Microsofta je stigla obavijest kako zakrpa neće niti spremna do srpnja zbog problema na koje su naišli tijekom testiranja. Ormandy je potom objavio propust.
N1 pratite putem aplikacija za Android | iPhone/iPad | Windows| i društvenih mreža Twitter| Facebook | Instagram.
