329views
Nicky Mouha นักวิจัยกระบวนการเข้ารหัสลับรายงานถึงช่องโหว่ buffer overflow ในฟังก์ชั่นแฮช SHA-3 ของไลบรารี XKCP ซึ่งเป็นไลบรารีดั้งเดิมของทีมงานออกแบบกระบวนการแฮช Keccak และเสนอเข้าแข่งขัน SHA-3 จนชนะเป็นมาตรฐาน
ช่องโหว่นี้อาศัยการเรียกฟังก์ชั่นแฮช SHA-3 ด้วยข้อมูลขนาด 4GB จนซอฟต์แวร์ภายในเกิด integer overflow ความน่ากังวลของช่องโหว่นี้คือโค้ดถูกเขียนตั้งแต่ปี 2011 และมีการตรวจสอบจากหลายคนในช่วงแข่งขันเลือก SHA-3 และโค้ดนี้ถูกนำไปใช้ในไลบรารีจำนวนมาก
ทาง XKCP แพตช์ช่องโหว่นี้แล้ว คาดว่าซอฟต์แวร์อื่นๆ ก็น่าจะนำแพตช์นี้ไปใช้งานในการอัพเดตรอบต่อไป
ที่มา – mouha.be
