OpenSSL ออกอัพเดต 3.0.7 ช่องโหว่เปิดทางยิงใบรับรองรันโค้ดบนเครื่องของเหยื่อแต่โจมตียาก ลดความร้ายแรงเหลือระดับสูง – SMS Marketing ราคาถูกที่สุด
OpenSSL ออกอัพเดต 3.0.7 ตามที่ประกาศไว้ก่อนหน้านี้ อย่างไรก็ดีทางโครงการระบุว่าเมื่อวิเคราะห์ช่องโหว่แล้วพบว่าการโจมตีทำได้ยากกว่าที่คิดตอนแรก ทำให้ความร้ายแรงจากระดับวิกฤติเหลือระดับร้ายแรงสูง
ช่องโหว่ CVE-2022-3786 และ CVE-2022-3602 เป็นช่องโหว่สองตัวแยก แต่การโจมตีคล้ายกันคือการสร้างใบรับรองที่ใบในรับรองออกแบบมาเฉพาะเมื่อเปิดการเชื่อมต่อแล้วรับใบรับรองจากอีกฝ่ายไม่ว่าจะเป็นเซิร์ฟเวอร์หรือไคลเอนต์ (ในกรณีที่เซิร์ฟเวอร์เปิดยืนยันไคลเอนต์ด้วยใบรับรอง) ก็อาจจะถูกโจมตีได้ โดย CVE-2022-3602 นั้นถูกมองว่าอันตรายระดับวิกฤติแต่ในความเป็นจริงคอมไพล์เลอร์จำนวนมากมีการป้องกัน buffer overflow อยู่แล้ว ทำให้การโจมตีระดับเข้าไปรันโค้ดบนเครื่องของเหยื่อทำได้ยาก เหลือเพียงแค่การโจมตีทำให้ระบบแครชเท่านั้น ซึ่งยังคงอันตรายแต่อาจจะไม่ถึงกับต้องปิดระบบทันทีเพื่อแพตช์
แม้ว่าจะลดระดับความร้ายแรงเหลือระดับสูงแต่หากระบบปฎิบัติการหรือซอฟต์แวร์ที่เกี่ยวข้องออกอัพเดตแล้วก็ควรรีบติดตั้งโดยเร็ว
ที่มา – OpenSSL