0
0
A versão mais recente da biblioteca OpenSSL foi descoberta como suscetível a uma vulnerabilidade de corrupção de memória remota em sistemas selecionados.
O problema foi identificado no OpenSSL versão 3.0.4, que foi lançado em 21 de junho de 2022, e afeta os sistemas x64 com o conjunto de instruções AVX-512. OpenSSL 1.1.1, bem como os garfos OpenSSL BoringSSL e LibreSSL não são afetados.
O pesquisador de segurança Guido Vranken, que relatou o bug no final de maio, disse que “pode ser acionado trivialmente por um atacante”. Embora a deficiência tenha sido corrigida, nenhum patch foi disponibilizado ainda.
OpenSSL é uma popular biblioteca de criptografia que oferece uma implementação de código aberto do protocolo Transport Layer Security (TLS). Advanced Vector Extensions (AVX) são extensões da arquitetura de conjunto de instruções x86 para microprocessadores da Intel e AMD.
“Eu não acho que isso seja uma vulnerabilidade de segurança”, disse Tomáš Mráz, da OpenSSL Foundation, em um tópico de problemas do GitHub. “É apenas um bug sério que torna a versão 3.0.4 inutilizável em máquinas compatíveis com AVX-512.”
Por outro lado, Alex Gaynor apontou: “Não tenho certeza se entendo como não é uma vulnerabilidade de segurança. É um estouro de buffer de pilha que pode ser acionado por coisas como assinaturas RSA, o que pode acontecer facilmente em contextos remotos (por exemplo, um aperto de mão TLS).”
Xi Ruoyao, um estudante de pós-graduação da Universidade Xidian, interveio, afirmando que, embora “acho que não devêssemos marcar um bug como ‘vulnerabilidade de segurança’, a menos que tenhamos alguma evidência mostrando que ele pode (ou pelo menos, pode) ser explorado”, é necessário lançar a versão 3.0.5 o mais rápido possível, dada a gravidade dessa questão.
FONTE: THE HACKER NEWS