Windows 10'daki Bir Güvenlik Açığına Karşı Uyarı

Windows 10’daki Bir Güvenlik Açığına Karşı Uyarı

Google'dan Tavis Ormandy, Windows’un çekirdek kriptografik kütüphanesinde bir güvenlik açığı keşfetti. Ormandy, attığı tweette, Microsoft’un sorunu 90 gün içinde çözemediğini, bu yüzden de durumun artık kamuoyunun bilgisine sunulduğunu açıkladı. Olağanda Microsoft, meseleleri 90 gün içerisinde çözmek durumunda. Böylelikle daha fazla kaynağın siber güvenliğe ayrılacağını umuyorlar.

Açık, SymCrypt isimli kütüphanedeki bir kusurdan kaynaklanıyor. Windows 10’un asimetrik kripto algoritmalarından sorumlu olan bu kütüphane, bozulmuş dijital sertifikalar ile zorlandığında sonsuz süreç döngüsüne giriyor. Haliyle çabucak bir DoS (denial of service) saldırısı yapmak mümkün oluyor. Bilhassa IPsec protokol kullanan irtibatlar taarruzlara açık hale geliyor.

Windows 10'daki Bir Güvenlik Açığına Karşı Uyarı

Ormandy, pek çok yazılımın bu süreçleri güvenilmez olarak işaretleyeceğini ve kilitlenmelerine neden olacağını söyledi. Yeniden de, bu açığı düşük düzeyli bir açık olarak nitelendirdi. Araştırmacı, bu açığın Windows’lardan oluşan büyük bilgisayar grubunu görece kolay halde devre dışı bırakmak için kullanılabileceğini söyledi. Ormandy bununla da kalmadı, bu teknikle sahiden de DoS yanlışına sebep olan yanlışlı sertifikaların kullanımını gösterdi.

Microsoft bu cins açıkları 90 gün boyunca zımnî tutabiliyor. Ormandy bu açığı Mart ortasında bildirmişti. Microsoft da bu türlü bir sorun yaşandığını 26 Mart’ta kabul etmiş ve sorunun tahlili için çalışmalara başlamıştı.