Операция вымогателя REvil прекращена неизвестным линчевателем

OpenSSL v3.0.4, последняя версия библиотеки с открытым исходным кодом для приложений, обеспечивающих безопасность связи, по-видимому, содержит ошибку высокой степени серьезности, которая может позволить уязвимостям удаленно выполнять вредоносный код.

Проблема в том, что нет доказательства концепции, а значит, ее нельзя пока считать полноценной уязвимостью, и остается вопрос, произойдет ли это когда-нибудь.

В отчетах говорится, что эта версия OpenSSL имеет уязвимость повреждения памяти в процессорах с расширением AVX512 (Advanced Vector Extensions 512). Сборка была выпущена для исправления старой уязвимости внедрения команд (CVE-2022-2068), которая не смогла исправить еще более старую проблему: CVE-2022-1292.

Уязвимость высокой степени серьезности или нет?

На GitHub объяснение состоит в том, что когда ossl_rsaz_mod_exp_avx512_x2() вызывает bn_reduce_once_in_place(), вызов включает значение factor_size, которое должно быть количеством слов для обработки.

Однако приведенный выше код отправлял размер в битах, что иногда могло привести к переполнению буфера кучи. Поскольку проблема может быть создана через рукопожатие TLS, существует вероятность злоупотреблений на удаленном конце.

Хотя некоторые исследователи считают, что это оправдывает оценку серьезности 10/10, не все с этим согласны.

По словам исследователя безопасности Гвидо Вранкена (открывается в новой вкладке), эта версия «подвержена удаленному повреждению памяти, которое может быть тривиально инициировано злоумышленником».

Вранкен добавил, что дерево библиотеки 1.1.1 все еще используется, а не дерево v3, и что libssl был разветвлен на LibreSSL и BoringSSL, что может усложнить ситуацию для потенциальных злоумышленников.

Кроме того, уязвимость затрагивает только чипы x64 с AVX512, что делает поверхность атаки еще меньше.

С другой стороны, Томаш Мраз, разработчик программного обеспечения в OpenSSL Foundation, не считает, что этот недостаток является недостатком безопасности.

«Я не думаю, что это нарушение безопасности», — сказал он. «Это просто фатальная ошибка, [] версия 3.0.4 не может использоваться на машинах, совместимых с AVX512».

По данным The Register, с тех пор уязвимость была исправлена, хотя OpenSSL 3.0.5 еще не выпущен.

  • Защитите свои цифровые установки с помощью лучших антивирусных программ на рынке

Через: Реестр (откроется в новой вкладке)

Поделиться