(https://i.postimg.cc/y8cr5WDQ/OpenSSL.png) (https://postimages.org/)
El experto en seguridad Guido Vranken descubrió una vulnerabilidad de corrupción de memoria remota en la versión 3.0.4 de OpenSSL recientemente lanzada. La biblioteca se lanzó el 21 de junio de 2022 y afecta a los sistemas x64 con el conjunto de instrucciones AVX-512.
"OpenSSL versión 3.0.4, lanzada el 21 de junio de 2022, es susceptible a la corrupción de la memoria remota que un atacante puede desencadenar de manera trivial. BoringSSL, LibreSSL y la rama OpenSSL 1.1.1 no se ven afectados. Además, solo se ven afectados los sistemas x64 compatibles con AVX512.
El error está corregido en el repositorio, pero aún está pendiente una nueva versión".
Los actores de amenazas pueden explotar fácilmente el problema y se abordará en la próxima versión.
El investigador de Google, David Benjamin, que analizó la vulnerabilidad, argumenta que el error no constituye un riesgo para la seguridad. Benjamin también encontró un error aparente en el artículo de Shay Gueron en el que se basa el código RSAZ.
Fuente:
SecurityAffairs.
https://securityaffairs.co/wordpress/132697/security/openssl-remote-memory-corruption-flaw.html