Bug in Krypto-Bibliothek kann Windows-Computer lahmlegen
Aufgrund eines Fehlers in der Krypto-Bibliothek SymCrypt kann Windows in eine endlose Rechenschleife geraten. Einen Patch gibt es bislang nicht.
Wegen eines Bugs in der Multi-Precision-Arthmetic-Routine der Krypto-Bibliothek SymCrypt könnten Angreifer Computer auf Windows-Basis mit vergleichsweise wenig Aufwand per DoS-Attacke außer Gefecht setzen.
Das hat Googles Vorzeige-Sicherheitsforscher Tavis Ormandy herausgefunden und in einem Beitrag festgehalten. Er erstellte ein X.509-Zertifikat, welches den Bug triggert. Dann hat er dieses eigenen Angaben zufolge in eine S/MIME-Mail eingebettet und die Nachricht verschickt. Der alleinige Empfang soll einen Windows-Computer lahmgelegt haben.
SymCrypt ist seit Windows 8 mit an Bord. Microsoft weiß laut Ormandy bereits seit März 2019 Bescheid. Da nun die 90 Tage der Responsible-Disclosure-Richtlinie vergangen sind, hat der Sicherheitsforscher Infos zur Schwachstelle offengelegt. Microsoft gibt an, im Juli ein Update auszuliefern zu wollen. (des)