OpenSSL ปล่อยแพตช์ความปลอดภัยชุดเดือนพฤษภาคม โดยมีช่องโหว่ความร้ายแรงสูงสองรายการ

รายการแรกเป็นช่องโหว่การใช้หน่วยความจำของตัวเข้ารหัส ASN.1 จากบั๊กสองบั๊กที่ไม่ใช่บั๊กความปลอดภัย บั๊กแรกเจอตั้งแต่ปีที่แล้วโดยทีมงาน Red Hat และนักวิจัยอิสระ Hanno Böck และอีกบั๊กหนึ่งพบเมื่อต้นเดือนมีนาคมที่ผ่านมา จากการตรวจโค้ดด้วย libFuzzer ทีมงาน Project Zero วิเคราะห์ผลกระทบเมื่อแฮกเกอร์ใช้บั๊กทั้งสองรายการพบว่ามีความร้ายแรงสูงจึงรายงานไปยัง OpenSSL

อีกช่องโหว่หนึ่งเปิดทางให้แฮกเกอร์สามารถถอดรหัสการเชื่อมต่อได้ หากใช้การเข้ารหัสแบบ AES-CBC บนชิปที่รองรับชุดคำสั่ง AES-NI ช่องโหว่นี่เกิดจากโค้ดที่อุดช่องโหว่ Lucky 13 ตั้งแต่ปี 2013 และรายงานโดย Juraj Somorovsky เมื่อวันที่ 13 เมษายนที่ผ่านมา

ทั้งสองช่องโหว่กระทบ OpenSSL ตระกูล 1.0.1 และ 1.0.2 ควรเร่งอัพเดตโดยเร็ว

ที่มา - OpenSSL