Die freie Software OpenSSL für SSL/TLS-Implementierungen ist verwundbar. Der Großteil der nun geschlossenen Schwachstellen ist mit dem Bedrohungsgrad „niedrig“ eingestuft. Es kann aber auch Schadcode auf Geräte gelangen. Bislang gibt es keine Hinweise auf Attacken. Das kann sich aber jederzeit ändern, sodass Admins mit der Installation der reparierten Ausgaben nicht zu lange zögern sollten.
Im Sicherheitsbereich der OpenSSL-Website listen die Entwickler die Sicherheitslücken auf. Davon ist nur eine Schwachstelle (CVE-2026-45447) mit dem Bedrohungsgrad „hoch“ eingestuft. Sie steckt in der PKCS7_verify()-Funktion.
Daran können Angreifer mit einer präparierten PKCS#7-Signatur ansetzen. Bei deren Verifizierung kommt es zu einem Speicherfehler (use-after-free) und es kann Schadcode auf Systeme gelangen. Die Beschreibung der Lücke liest sich so, als seien Attacken aus der Ferne möglich.
Durch das Ausnutzen der verbleibenden Schwachstellen können Angreifer unter anderem Abstürze auslösen (etwa CVE-2026-34183 „mittel“). Ein Fehler in AuthEnvelopedData vom Cryptographic Message Service sorgt dafür, dass von Angreifern kompromittierte Nachrichten verarbeitet werden.
Außerdem können Angreifer signierte Nachrichten mit dem RSA-Schlüssel eines Opfers entschlüsseln (CVE-2026-42768 „niedrig“). Auch der Tausch eines Root-Zertifikats durch Angreifer ist vorstellbar (CVE-2026-42769 „niedrig“).
Die Enwickler versichern, die Sicherheitslücken in den folgenden Versionen geschlossen zu haben:
(des)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。