Google'dan Tavis Ormandy, Windows’un çekirdek kriptografik kütüphanesinde bir güvenlik açığı keşfetti. Ormandy, attığı tweette, Microsoft’un sorunu 90 gün içinde çözemediğini, bu yüzden de durumun artık kamuoyunun bilgisine sunulduğunu açıkladı. Olağanda Microsoft, meseleleri 90 gün içerisinde çözmek durumunda. Böylelikle daha fazla kaynağın siber güvenliğe ayrılacağını umuyorlar.
Açık, SymCrypt isimli kütüphanedeki bir yanılgıdan kaynaklanıyor. Windows 10’un asimetrik kripto algoritmalarından sorumlu olan bu kütüphane, bozulmuş dijital sertifikalar ile zorlandığında sonsuz süreç döngüsüne giriyor. Haliyle çabucak bir DoS (denial of service) saldırısı yapmak mümkün oluyor. Bilhassa IPsec protokol kullanan kontaklar ataklara açık hale geliyor.
Ormandy, pek çok yazılımın bu süreçleri güvenilmez olarak işaretleyeceğini ve kilitlenmelerine neden olacağını söyledi. Tekrar de, bu açığı düşük düzeyli bir açık olarak nitelendirdi. Araştırmacı, bu açığın Windows’lardan oluşan büyük bilgisayar grubunu görece kolay halde devre dışı bırakmak için kullanılabileceğini söyledi. Ormandy bununla da kalmadı, bu yolla sahiden de DoS yanlışına sebep olan yanılgılı sertifikaların kullanımını gösterdi.
Microsoft bu cins açıkları 90 gün boyunca bâtın tutabiliyor. Ormandy bu açığı Mart ortasında bildirmişti. Microsoft da bu türlü bir sorun yaşandığını 26 Mart’ta kabul etmiş ve sorunun tahlili için çalışmalara başlamıştı.