Bombë sigurie mbi sistemin operativ të Microsoft

Bombë sigurie mbi sistemin operativ të Microsoft

Edhe projekti Zero ka një afat 90 ditor për zbulimin e problemeve të sigurisë. Microsoft kishte premtuar adresimin e problemit më 11 Qershor në javën e parë të përditësimeve të Windows.

Një hulumtues sigurie i cili është pjesë e Projektit Zero të Google, zbuloi publikisht një problem sigurie në Windows që Microsoft është ende në proces riparimi.

Në rrjetin social Twitter, Tavis Ormandy tha se kishte zbuluar një problem sigurie në libraritë kyçe kriptografike të Windows. Ai tha se Microsoft zbaton një strategji 90 ditore për adresimin e problmeve të sigurisë por që me këtë problem sigurie nuk ka vepruar brenda afateve.

Si rezultat në rast se ky afat nuk përmbushet, atëherë problemi ekspozohet për publikun. Problemi fshihet në SymCrypt, një librari kyçe kriptografike përgjegjëse për implementimin e algoritmeve asimetrike kriptografike në Windows 10 dhe simetrike në Windows 8.

Ajo që Ormandy gjeti ishte se mund të detyronte SymCrypto të kryente përllogaritje pafundësisht. Efektivisht kemi të bëjmë me një sulm DDoS mbi serverët Windows sidomos ata që funksionojnë në protokollet IPsec të cilët kërkohen për të përdorur një VPN ose Microsoft Exchange Server.

Edhe projekti Zero ka një afat 90 ditor për zbulimin e problemeve të sigurisë. Microsoft kishte premtuar adresimin e problemit më 11 Qershor në javën e parë të përditësimeve të Windows.

Kompania ishte paralajmëruar më 13 dhe 26 Mars ndërsa kishte konfirmuar për Ormandy se nuk do të ketë një përditësim deri në muajin Korrik. Zbulimi i problemeve të sigurisë për publikun përpara se të adresohen vendosin presionin mbi organizatat të cilat bëhen më përgjegjëse në adresimin e tyre me shpejtësi. /