Windows 10’daki Bir Güvenlik Açığına Karşı İhtar

Google'dan Tavis Ormandy, Windows’un çekirdek kriptografik kütüphanesinde bir güvenlik açığı keşfetti. Ormandy, attığı tweette, Microsoft’un sorunu 90 gün içinde çözemediğini, bu yüzden de durumun artık kamuoyunun bilgisine sunulduğunu açıkladı. Olağanda Microsoft, sıkıntıları 90 gün içerisinde çözmek durumunda. Böylelikle daha fazla kaynağın siber güvenliğe ayrılacağını umuyorlar.

Açık, SymCrypt isimli kütüphanedeki bir yanlıştan kaynaklanıyor. Windows 10’un asimetrik kripto algoritmalarından sorumlu olan bu kütüphane, bozulmuş dijital sertifikalar ile zorlandığında sonsuz süreç döngüsüne giriyor. Haliyle çabucak bir DoS (denial of service) saldırısı yapmak mümkün oluyor. Bilhassa IPsec protokol kullanan ilişkiler taarruzlara açık hale geliyor.

Ormandy, pek çok yazılımın bu süreçleri güvenilmez olarak işaretleyeceğini ve kilitlenmelerine neden olacağını söyledi. Tekrar de, bu açığı düşük düzeyli bir açık olarak nitelendirdi. Araştırmacı, bu açığın Windows’lardan oluşan büyük bilgisayar grubunu görece kolay biçimde devre dışı bırakmak için kullanılabileceğini söyledi. Ormandy bununla da kalmadı, bu metotla hakikaten de DoS yanlışına sebep olan yanılgılı sertifikaların kullanımını gösterdi.

Microsoft bu çeşit açıkları 90 gün boyunca zımnî tutabiliyor. Ormandy bu açığı Mart ortasında bildirmişti. Microsoft da bu türlü bir sorun yaşandığını 26 Mart’ta kabul etmiş ve sorunun tahlili için çalışmalara başlamıştı.