Tavis Ormandy von Google Project Zero hat eine Sicherheitslücke in der Windows-Verschlüsselungsbibliothek SymCrypt öffentlich gemacht, nachdem Microsoft diese nicht wie zugesagt innerhalb von drei Monaten beheben konnte. Der Sicherheitsforscher hatte sie schon im März vertraulich an Microsoft gemeldet, das die Gefährdung bis spätestens 11. Juni 2019 beseitigen wollte.
Kurz vor dem Termin für seinen Juni-Patchday gab Microsoft jedoch zu verstehen, dass es Googles übliche Frist für die Fehlerbehebung innerhalb von 90 Tagen nicht einhalten konnte. Als Grund nannte der Softwarekonzern „Probleme, die beim Testen auftraten“. Das Sicherheitsloch soll nun erst am Patch-Dienstag im Juli geschlossen werden.
SymCrypt dient als Microsofts primäre Verschlüsselungsbibliothek für symmetrische Algorithmen seit Windows 8. Seit Windows 10 1703 wurde es auch primäre Verschlüsselungsbibliothek für asymmetrische Algorithmen. Microsoft stellte die seit 2006 entwickelte Standardbibliothek in diesem Jahr unter die MIT-Lizenz und machte sie als quelloffenen Code zugänglich, behielt sich jedoch weiterhin eine nur interne Entwicklung vor.
Ormandy entdeckte den Bug in arithmetischen Routinen der Standardbibliothek für Verschlüsselungsfunktionen. Ihm zufolge kann das zu Berechnungen führen, die in einer unendlichen Schleife ablaufen. „Ich habe ein X.509-Zertifikat erstellen können, das den Fehler auslöst“, schreibt er. Er habe sodann entdeckt, dass das Einbetten des Zertifikats etwa in einer S/MIME-Nachricht, einer Authenticode-Signatur oder einer SChannel-Verbindung effektiv jeden Windows-Server zu einem Denial of Service (DoS) bringe – also den Dienst zu verweigern. Das gelte beispielsweise für IPsec, Internet Information Server (IIS) und Exchange. Kontextabhängig könnte ein Neustart des Rechners erforderlich sein. Da viel Software wie etwa Antiviruslösungen diese Routinen bei nicht vertrauenswürdigen Inhalten aufrufen müssten, bringe sie das zum Stillstand.
„Ich melde das als geringes Risiko, obwohl sich damit ziemlich rasch eine Windows-Flotte außer Betrieb setzen lässt“, merkt Googles Sicherheitsforscher ironisch an. Tavis Ormandy hat sich einen Namen gemacht, indem er schon häufiger kritische Sicherheitslücken in verbreiteter Software aufdeckte. So meldete er unter anderem Sicherheitslöcher im Passwortmanager LastPass sowie in Produkten von Symantec, Kaspersky und AVG. Zusammen mit seiner Kollegin Natalie Silvanovich entdeckte er eine kritische Schwachstelle in Microsofts Malware Protection Engine, die in zahlreichen Sicherheitsprodukten enthalten ist.
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
