Googleのお抱えハッカーがWindowsのバグを発見、深刻度は低いがサービス拒否状態に陥る恐れあり
By turalmammadzada
Windowsの暗号ライブラリ「SymCrypt」のバグ情報がハッカーによってTwitterで公開されました。このハッカー、タヴィス・オーマンディさんはGoogle所属のホワイトハッカーで、事前にMicrosoftにバグ発見を報告していました。しかし、Microsoftから返答のあった期日までに対応が行われなかったため、情報の公開に踏み切ったとのこと。
1804: cryptoapi: SymCrypt modular inverse algorithm
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804
SymCrypt Bug Would Let Attacker "Take Down Entire Windows Fleet"
https://www.cbronline.com/news/symcrypt-bug
Flaw in SymCrypt Can Trigger DDoS - Infosecurity Magazine
https://www.infosecurity-magazine.com/news/flaw-in-symcrypt-can-trigger-ddos-1-1/
オーマンディさんが指摘したバグは、Windows上の全ての暗号化をつかさどる暗号ライブラリSymCryptを活用するプロトコルなどで無限ループを強制的に発生させるというものです。S/MIME、authenticode、IPsec、IISなどはSymCryptによる暗号化を使用しているので、VPNやMicrosoft Exchange Serverを実行しようとしたタイミングで、発見された脆弱性を使ってデッドロックに陥らせてサービス拒否(DoS)状態に陥らせることが可能とのこと。
オーマンディさんはこの「比較的深刻度が低い」というバグをMicrosoftに報告。報告を受けてMicrosoftは90日以内に修正することをオーマンディさんに約束しましたが、期日までに修正が行われなかったため、オーマンディさんはバグの情報をTwitterで発表しました。
I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.
— Tavis Ormandy (@taviso) June 11, 2019
Microsoftの広報担当者はInfosecurity Magazineに対して「Microsoftは報告されたバグにできる限り早く対処するよう責任を持って取り組んでいます。もちろん期限に間に合うように全力を尽くしていますが、無理やり期限に間に合わせると悪影響が出てしまいます。セキュリティアップデートの開発は速度と正確性のバランスを求められるデリケートな作業です。バグの影響をできる限り少なくしながら、できる限り多くのPCのセキュリティを保護することを目標としています」とメールで回答しています。なお、オーマンディさんによるとこのバグは「比較的深刻度が低い」とのことです。
・関連記事
8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE
Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE
Microsoft社長がオーストラリアのアンチ暗号化法に対して「もはや企業はデータを安全に保存できない」と警告 - GIGAZINE
Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ - GIGAZINE
「Windowsに新たなゼロデイ脆弱性を発見」とハッカーがTwitterで公開 - GIGAZINE
・関連コンテンツ