Kerentanan telah dikenal pasti dalam perpustakaan kriptografi OpenSSL (CVE masih belum diberikan), dengan bantuan penyerang jauh boleh merosakkan kandungan memori proses dengan menghantar data yang direka khas pada masa mewujudkan sambungan TLS. Masih belum jelas sama ada masalah itu boleh membawa kepada pelaksanaan kod penyerang dan kebocoran data daripada memori proses, atau sama ada ia terhad kepada ranap sistem.
Kerentanan muncul dalam keluaran OpenSSL 3.0.4, yang diterbitkan pada 21 Jun, dan disebabkan oleh pembetulan yang salah untuk pepijat dalam kod yang boleh mengakibatkan sehingga 8192 bait data ditimpa atau dibaca melebihi penimbal yang diperuntukkan. Eksploitasi kelemahan hanya boleh dilakukan pada sistem x86_64 dengan sokongan untuk arahan AVX512.
Forks OpenSSL seperti BoringSSL dan LibreSSL, serta cawangan OpenSSL 1.1.1, tidak terjejas oleh masalah tersebut. Pembetulan pada masa ini hanya tersedia sebagai tampalan. Dalam senario terburuk, masalahnya mungkin lebih berbahaya daripada kerentanan Heartbleed, tetapi tahap ancaman dikurangkan oleh fakta bahawa kerentanan muncul hanya dalam keluaran OpenSSL 3.0.4, manakala banyak pengedaran terus menghantar 1.1.1 cawangan secara lalai atau belum sempat membina kemas kini pakej dengan versi 3.0.4.
Sumber: opennet.ru