Kerentanan telah diidentifikasi di perpustakaan kriptografi OpenSSL (CVE belum ditetapkan), yang dengannya penyerang jarak jauh dapat merusak konten memori proses dengan mengirimkan data yang dirancang khusus pada saat membuat koneksi TLS. Belum jelas apakah masalah ini dapat mengakibatkan eksekusi kode penyerang dan kebocoran data dari memori proses, atau apakah hanya terbatas pada kerusakan saja.
Kerentanan muncul dalam rilis OpenSSL 3.0.4, yang diterbitkan pada tanggal 21 Juni, dan disebabkan oleh perbaikan yang salah untuk bug dalam kode yang dapat mengakibatkan hingga 8192 byte data ditimpa atau dibaca melebihi buffer yang dialokasikan. Eksploitasi kerentanan hanya mungkin dilakukan pada sistem x86_64 dengan dukungan untuk instruksi AVX512.
Fork OpenSSL seperti BoringSSL dan LibreSSL, serta cabang OpenSSL 1.1.1, tidak terpengaruh oleh masalah ini. Perbaikan saat ini hanya tersedia sebagai tambalan. Dalam skenario terburuk, masalahnya bisa lebih berbahaya daripada kerentanan Heartbleed, namun tingkat ancamannya berkurang karena kerentanan hanya muncul di rilis OpenSSL 3.0.4, sementara banyak distribusi terus mengirimkan 1.1.1 cabang secara default atau belum sempat membangun pembaruan paket dengan versi 3.0.4.
Sumber: opennet.ru