В OpenSSL обнаружена критическая уязвимость
🕛 20.04.2012, 12:39
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему. Проект OpenSSL выпустил экстренный корректирующий релиз набора библиотек. В функции asn1_d2i_read_bio была обнаружена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код на целевой системе.
«Любое приложение, использующее функции, которые основаны на BIO или FILE, для чтения недоверенных данных в формате DER – является уязвимым», - говориться в уведомлении.
По данным Seclists , уязвимость, возможно, поражает только приложения, работающие на базе 64-х разрядной версии операционной системы.
Уязвимость была раскрыта сотрудниками Google Security Team. По данным исследователей, доказательств существования эксплоита пока нет, однако его появление ожидается в скором времени. Поэтому производитель рекомендует в кратчайшие сроки обновить продукт до версии 1.0.1a, 1.0.0i или 0.9.8v.
С подробным описанием уязвимости можно ознакомиться здесь.