安全研究員Tavis Ormandy‏是谷歌“Project Zero”團隊的一員，負責尋找0day漏洞。他公開了一個可利用的Windows漏洞，目前，微軟仍處於修復過程中。Tavis Ormandy發推文說他已經發現了Windows核心加密庫的安全問題，“微軟承諾在90天內修復它，結果沒有”。於是在第91天，Ormandy選擇了公開這個漏洞。

該漏洞實際上是SymCrypt中的一個錯誤，SymCrypt是負責在Windows 10中實現非對稱加密算法和在Windows 8中實現對稱加密算法的核心加密庫。Ormandy發現，通過使用格式錯誤的數字證書，他可以強迫SymCrypt計算進入無限循環。這將有效地對Windows 服務器執行拒絕服務（DoS）攻擊，例如，運行使用VPN或Microsoft Exchange Server進行電子郵件和日曆時所需的IPsec協議的服務。

Ormandy 還指出，“許多處理不受信任內容的軟件（如防病毒軟件）會在不受信任的數據上調用這些例程，這將導致它們陷入僵局。”

不過，他還是將其評為低嚴重性漏洞，同時補充說，該漏洞可以讓人相對輕鬆地拆除整個Windows 機群，因此值得注意。

Ormandy 發布的公告提供了漏洞的詳細信息，以及可能導致拒絕服務的格式錯誤的證書示例。

如前所述，Project Zero有90天的披露截止日期。Ormandy於3月13日首次報告此漏洞，然後在3月26日，微軟確認將發布安全公告，並在6月11日的Patch Tuesday中對此進行修復。Ormandy認為，“這是91天，但在延長期內，所以它是可以接受的。”

6 月11 日，微軟安全響應中心（MSRC）表示“該修補程序今天不會發布，並且由於測試中發現問題，在7 月發布之前也不會修補好”，於是Ormandy 公開了這個漏洞。

公開的漏洞地址：

https://bugs.chromium.org/p/project-zero/issues/detail?id=1804