В OpenSSL обнаружена критическая уязвимость

image

Теги: уязвимость, компрометация

Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Проект OpenSSL выпустил экстренный корректирующий релиз набора библиотек. В функции asn1_d2i_read_bio была обнаружена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код на целевой системе.

«Любое приложение, использующее функции, которые основаны на BIO или FILE, для чтения недоверенных данных в формате DER – является уязвимым», - говориться в уведомлении.

Как сообщает исследователь Тавис Орманд (Tavis Ormandy), уязвимость, возможно, поражает только приложения, работающие на базе 64-х разрядной версии операционной системы.

Уязвимость была раскрыта сотрудниками Google Security Team. По данным исследователей, доказательств существования эксплоита пока нет, однако его появление ожидается в скором времени. Поэтому производитель рекомендует в кратчайшие сроки обновить продукт до версии 1.0.1a, 1.0.0i или 0.9.8v.

С подробным описанием уязвимости можно ознакомиться здесь.


comments powered by Disqus