La última versión de OpenSSL v3, una biblioteca de código abierto ampliamente utilizada para redes seguras mediante el protocolo Transport Layer Security (TLS), contiene una vulnerabilidad de corrupción de memoria que pone en peligro los sistemas de 64 bits con microprocesadores con instrucciones Advanced Vector Extensions 512 (AVX512) de Intel.

OpenSSL 3.0.4 se lanzó el 21 de junio para abordar una vulnerabilidad de inyección de comandos (CVE-2022-2068) que sólo se solucionó parcialmente con un parche anterior (CVE-2022-1292).

Pero esta versión en sí necesita más arreglos. OpenSSL 3.0.4 «es susceptible a la corrupción de la memoria remota que un atacante puede desencadenar de manera trivial», según el investigador de seguridad Guido Vranken. Estamos imaginando dos dispositivos que establecen una conexión segura entre ellos usando OpenSSL y esta falla se explota para ejecutar código malicioso arbitrario en uno de ellos.

Vranken dijo que si este error se puede explotar de forma remota ―y no es seguro que pueda serlo― podría ser más grave que Heartbleed, al menos desde un punto de vista puramente técnico.

Sin embargo, Vranken señala varios factores atenuantes, incluido el uso continuado del árbol 1.1.1 de la biblioteca en lugar del árbol v3; la bifurcación de libssl en LibreSSL y BoringSSL; el poco tiempo que ha estado disponible 3.0.4; y el hecho de que el error solo afecta a x64 con AVX512, disponible en ciertos CPUs de Intel lanzados entre 2016 y principios de 2022.

Fuente: The Register