มีการระบุช่องโหว่ในไลบรารีการเข้ารหัส OpenSSL (ยังไม่ได้กำหนด CVE) ด้วยความช่วยเหลือซึ่งผู้โจมตีระยะไกลสามารถสร้างความเสียหายให้กับเนื้อหาของหน่วยความจำกระบวนการโดยการส่งข้อมูลที่ออกแบบมาเป็นพิเศษในเวลาที่สร้างการเชื่อมต่อ TLS ยังไม่ชัดเจนว่าปัญหาอาจนำไปสู่การเรียกใช้โค้ดของผู้โจมตีและการรั่วไหลของข้อมูลจากหน่วยความจำกระบวนการ หรือจำกัดเฉพาะความล้มเหลวเท่านั้น
ช่องโหว่ดังกล่าวปรากฏใน OpenSSL 3.0.4 ซึ่งเผยแพร่เมื่อวันที่ 21 มิถุนายน และมีสาเหตุจากการแก้ไขข้อบกพร่องในโค้ดที่ไม่ถูกต้อง ซึ่งอาจส่งผลให้ข้อมูลมากถึง 8192 ไบต์ถูกเขียนทับหรืออ่านเกินบัฟเฟอร์ที่จัดสรร การใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้บนระบบ x86_64 ที่รองรับคำสั่ง AVX512 เท่านั้น
ทางแยกของ OpenSSL เช่น BoringSSL และ LibreSSL รวมถึงสาขา OpenSSL 1.1.1 ไม่ได้รับผลกระทบจากปัญหานี้ ขณะนี้การแก้ไขมีให้ใช้งานในรูปแบบแพทช์เท่านั้น ในกรณีที่เลวร้ายที่สุด ปัญหาอาจมีอันตรายมากกว่าช่องโหว่ Heartbleed แต่ระดับภัยคุกคามจะลดลงเนื่องจากช่องโหว่ดังกล่าวปรากฏเฉพาะใน OpenSSL 3.0.4 เท่านั้น ในขณะที่การแจกจ่ายจำนวนมากยังคงจัดส่ง 1.1.1 ต่อไป สาขาตามค่าเริ่มต้นหรือยังไม่มีเวลาสร้างการอัปเดตแพ็คเกจด้วยเวอร์ชัน 3.0.4
ที่มา: opennet.ru