เมื่อสัปดาห์ที่แล้ว OpenSSL ออกแพตช์อัพเดตความปลอดภัยโดยช่องโหว่สำคัญที่สุดอยู่ที่ระดับ "สูง" แต่ปรากฎว่าแพตช์ชุดหนึ่งกลับสร้างช่องโหว่ระดับวิกฤติขึ้นมา ทำให้ต้องเร่งออกแพตช์อีกครั้ง

แพตช์ที่สร้างปัญหาคือแพตช์อุดช่องโหว่ระดับต่ำ CVE-2016-6307 ที่มีการจองหน่วยความจำมากเกินความจำเป็น ช่องโหว่นี้โจมตีได้จำกัด ในบางกรณีอาจจะนำให้ระบบที่หน่วยความจำจำกัดเกิดซอฟต์แวร์ล่มไปได้

แต่ปรากฎว่าแพตช์กลับสร้างช่องโหว่ use-after-free โดยทั่วไปแล้วช่องโหว่นี้น่าจะทำให้ซอฟต์แวร์แครช แต่มีความเสี่ยงที่แฮกเกอร์จะไปใช้รันโค้ดได้

ผู้พบช่องโหว่นี้คือ Google Security Team ที่ใช้ honggfuzz สร้างอินพุตมาทดสอบ และรายงานไปยัง OpenSSL หลังปล่อยแพตช์ไปเพียงวันเดียว

ที่มา - OpenSSL