Die neueste Version der OpenSSL-Bibliothek wurde auf ausgewählten Systemen als anfällig für eine entfernte Speicherkorruptionsschwachstelle entdeckt.
Das Problem wurde in OpenSSL Version 3.0.4 entdeckt, die am 21. Juni 2022 veröffentlicht wurde und x64-Systeme mit dem AVX-512-Befehlssatz betrifft. OpenSSL 1.1.1 sowie die OpenSSL-Forks BoringSSL und LibreSSL sind nicht betroffen.
Der Sicherheitsforscher Guido Vranken, der den Fehler Ende Mai meldete, sagte, dass er „von einem Angreifer trivial ausgelöst werden kann“. Obwohl die Schwachstelle inzwischen behoben wurde, wurden noch keine Patches zur Verfügung gestellt.
OpenSSL ist eine beliebte Kryptografie-Bibliothek, die eine Open-Source-Implementierung des Transport Layer Security (TLS)-Protokolls bietet. Advanced Vector Extensions (AVX) sind Erweiterungen der x86-Befehlssatzarchitektur für Mikroprozessoren von Intel und AMD.
„Ich glaube nicht, dass es sich um eine Sicherheitslücke handelt“, sagte Tomáš Mráz von der OpenSSL Foundation in einem GitHub-Thread. „Es handelt sich lediglich um einen schwerwiegenden Fehler, der die Version 3.0.4 auf AVX-512-fähigen Maschinen unbrauchbar macht.“
Alex Gaynor hingegen meinte: „Ich verstehe nicht, warum es sich nicht um eine Sicherheitslücke handelt. Es handelt sich um einen Heap-Pufferüberlauf, der durch Dinge wie RSA-Signaturen ausgelöst werden kann, was in entfernten Kontexten (z. B. bei einem TLS-Handshake) leicht passieren kann.“
Xi Ruoyao, Doktorand an der Xidian Universität, ergänzte: „Ich denke, wir sollten einen Fehler nicht als ‚Sicherheitslücke‘ bezeichnen, solange wir keine Beweise dafür haben, dass er ausgenutzt werden kann (oder zumindest könnte).