La vulnerabilità è stata scoperta nell’ultima versione di OpenSSL 3.0.4, rilasciata il 21 giugno 2022, che interessa i sistemi x86_64 con supporto per le istruzioni AVX-512.
Secondo il post sul blog di Guido Vranken, la vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per corrompere il contenuto della memoria di un processo.
Un corretto sfruttamento della vulnerabilità potrebbe consentire a un utente malintenzionato di leggere e sovrascrivere fino a 8129 byte di dati al di fuori del buffer allocato.
Non è ancora noto se la vulnerabilità possa essere sfruttata per eseguire codice arbitrario e quindi trasformarsi in una pericolosa Remote Code Execution (RCE).
BoringSSL, LibreSSL e il ramo OpenSSL 1.1.1 non sono interessati.
La correzione è attualmente disponibile solo come patch e sarà disponibile per tutti gli utenti nel prossimo aggiornamento.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cyber News
Cultura
Cultura
Innovazione