มาตรฐาน ASN.1 เป็นมาตรฐานสำหรับการเข้ารหัส (encode) และส่งข้อมูลระหว่างอุปกรณ์ที่ได้รับความนิยมในกระบวนการเข้ารหัส การสร้างโปรโตคอลเข้ามักกำหนดข้อมูลหลายอย่างด้วย ASN.1 เช่นใบรับรองดิจิตอลที่เราเห็นไฟล์นามสกุล .DER เป็นต้น ตอนนี้คอมไพล์เลอร์ที่คอมไพล์จากฟอร์แมต ASN.1 เป็นไลบรารีสำหรับอ่านข้อมูลในภาษาต่างๆ จากบริษัท Objective Systems ชื่อว่า ASN1C มีบั๊กทำให้แฮกเกอร์สามารถสร้างข้อมูลพิเศษเพื่อรันโค้ดบนเครื่องที่ใช้ไลบรารีจาก ASN1C ได้

แม้จะดูซับซ้อน แต่ความน่ากังวลสำคัญคือบริษัทที่ใช้คอมไพล์เลอร์ ASN1C นี้มีจำนวนเยอะมาก บริษัทไอทีที่เราได้ยินชื่อกันบ่อยๆ มีแทบครบ ทั้ง กูเกิล, ไมโครซอฟท์, อินเทล, ไอบีเอ็ม, เอชพี, ซัมซุง, โซนี่ บริษัทผลิตอุปกรณ์เครือข่ายก็มีจำนวนมากทั้ง ซิสโก้, โนเกีย, ซีเมนส์, NEC (ดูรายชื่อบริษัทที่ได้รับผลกระทบจาก CERT) ช่องโหว่เดียวนี้จึงอาจจะสร้างกระทบเป็นวงกว้างไปทั้งวงการ ตอนนี้หลายบริษัทที่ใช้ ASN1C ออกมายืนยันว่าไม่ได้รับผลกระทบบ้างแล้ว เช่น เอชพี, ซีเมนส์, Qualcomm ลูกค้ากลุ่มสำคัญของ ASN1C คือผู้ผลิตอุปกรณ์เครือข่ายโทรศัพท์มือถือ ทาง Objective Systems มีซอฟต์แวร์เฉพาะสำหรับกลุ่มนี้

ทาง Objective Systems ออกอัพเดตพิเศษรุ่น 7.0.1.x ให้กับลูกค้าที่ร้องขอเป็นกรณีไป แต่รุ่น 7.0.2 ที่กำลังออกมาจะแก้ปัญหานี้แล้ว สำหรับลูกค้าที่ใช้อุปกรณ์สื่อสารจากบริษัทที่เป็นผู้ใช้ ASN1C ต้องรอบริษัทผู้ผลิตเหล่านี้ยืนยันอีกครั้งว่าได้รับผลกระทบหรือไม่ หากได้รับผลกระทบก็คงมีการอัพเดตตามออกมาอีกครั้ง

US-CERT จัดช่องโหว่นี้ว่ามีความร้ายแรงสูง ให้คะแนน CVSS ที่ 9.3 คะแนน คำอธิบายช่องโหว่อยู่ใน GitHub

ที่มา - US-CERT VU#790839