Phiên bản mới nhất của thư viện OpenSSL đã được phát hiện là dễ có lỗ hổng làm hỏng bộ nhớ từ xa trên một số hệ thống được chọn.
Sự cố đã được xác định trong phiên bản OpenSSL 3.0.4, được phát hành vào ngày 21 tháng 6 năm 2022 và ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. OpenSSL 1.1.1 cũng như OpenSSL forks BoringSSL và LibreSSL không bị ảnh hưởng.
Nhà nghiên cứu bảo mật Guido Vranken, người đã báo cáo lỗi này vào cuối tháng 5, cho biết nó “có thể được kích hoạt bởi kẻ tấn công.” Mặc dù thiếu sót đã được khắc phục nhưng vẫn chưa có bản vá lỗi nào được cung cấp.
OpenSSL là một thư viện mật mã phổ biến cung cấp triển khai mã nguồn mở của giao thức Bảo mật lớp truyền tải (TLS). Phần mở rộng Vector nâng cao (AVX) là phần mở rộng cho kiến trúc tập lệnh x86 dành cho bộ vi xử lý của Intel và AMD.
“Tôi không nghĩ rằng đây là một lỗ hổng bảo mật”, Tomáš Mráz của OpenSSL Foundation cho biết trong một chủ đề về vấn đề GitHub. “Đó chỉ là một lỗi nghiêm trọng khiến bản phát hành 3.0.4 không thể sử dụng được trên các máy có hỗ trợ AVX-512.”
Mặt khác, Alex Gaynor chỉ ra rằng, “Tôi không chắc mình hiểu nó không phải là một lỗ hổng bảo mật như thế nào. Đó là lỗi tràn bộ đệm heap có thể được kích hoạt bởi những thứ như chữ ký RSA, điều này có thể dễ dàng xảy ra trong các ngữ cảnh từ xa (ví dụ: bắt tay TLS ). “
Xi Ruoyao, một sinh viên sau đại học tại Đại học Xidian, nói rằng mặc dù “Tôi nghĩ chúng ta không nên đánh dấu một lỗi là ‘lỗ hổng bảo mật' trừ khi chúng ta có một số bằng chứng cho thấy nó có thể (hoặc ít nhất, có thể) bị khai thác”, cần phải phát hành phiên bản 3.0.5 càng sớm càng tốt do mức độ nghiêm trọng của vấn đề.
.
