Windows 10'daki Bir Güvenlik Açığına Karşı Uyarı

Google'ın “Project Zero” ekibinden bir araştırmacı, firmanın üzerinde çalıştığı bir sıfır-günü güvenlik açığını kamuoyuyla paylaştı.

Google'dan Tavis Ormandy, Windows’un çekirdek kriptografik kütüphanesinde bir güvenlik açığı keşfetti. Ormandy, attığı tweette, Microsoft’un sorunu 90 gün içinde çözemediğini, bu yüzden de durumun artık kamuoyunun bilgisine sunulduğunu açıkladı. Normalde Microsoft, sorunları 90 gün içerisinde çözmek durumunda. Böylece daha fazla kaynağın siber güvenliğe ayrılacağını umuyorlar.

Açık, SymCrypt adlı kütüphanedeki bir hatadan kaynaklanıyor. Windows 10’un asimetrik kripto algoritmalarından sorumlu olan bu kütüphane, bozulmuş dijital sertifikalar ile zorlandığında sonsuz işlem döngüsüne giriyor. Haliyle hemen bir DoS (denial of service) saldırısı yapmak mümkün oluyor. Özellikle IPsec protokol kullanan bağlantılar saldırılara açık hale geliyor.

Ormandy, pek çok yazılımın bu işlemleri güvenilmez olarak işaretleyeceğini ve kilitlenmelerine neden olacağını söyledi. Yine de, bu açığı düşük seviyeli bir açık olarak nitelendirdi. Araştırmacı, bu açığın Windows’lardan oluşan büyük bilgisayar grubunu görece kolay şekilde devre dışı bırakmak için kullanılabileceğini söyledi. Ormandy bununla da kalmadı, bu yöntemle gerçekten de DoS hatasına sebep olan hatalı sertifikaların kullanımını gösterdi.

Microsoft bu tür açıkları 90 gün boyunca gizli tutabiliyor. Ormandy bu açığı Mart ortasında bildirmişti. Microsoft da böyle bir sorun yaşandığını 26 Mart’ta kabul etmiş ve sorunun çözümü için çalışmalara başlamıştı.