Aktualizace OpenSSL vydané v úterý opravují tucet zranitelností, včetně chyby s vysokou závažností umožňující vzdálené spuštění kódu. Všech dvanáct zranitelností objevila společnost Aisle zabývající se kybernetickou bezpečností, která k identifikaci bezpečnostních děr použila autonomní analyzátor. Za společností stojí Ondřej Vlček, bývalý šéf společnosti Avast.
Hlavní bezpečnosti problém s vysokou závažností je označen číslem CVE-2025–15467 a byl popsán jako přetečení zásobníku, které může za určitých podmínek vést k selhání a odepření služby (DoS) nebo vzdálenému spuštění kódu. Opravena byla také chyba CVE-2025–11187, což je podobný problém střední závažnosti.
Více informací o objevu zmíněných bezpečnostních chyb nabízí Stanislav Fořt ze společnosti Aisle na firemním blogu. Podle jeho slov byly některé chyb v kódu desítky let a uniky pozornosti tisíců bezpečnostních analytiků. Najít skutečnou bezpečnostní chybu v OpenSSL je mimořádně obtížné. I jediná uznaná zranitelnost představuje vzácný úspěch.
Tradiční statická analýza podle Fořta zachytí určité třídy chyb, ale má potíže s komplexními logickými chybami a problémy závislými na načasování. S tím může pomoci umělá inteligence, která může nepřetržitě zkoumat různé cesty v kódu a okrajové případy, jejichž prověření by lidským recenzentům trvalo měsíce. To neznamená, že AI může nahradit lidskou odbornost. Hluboké znalosti správců OpenSSL o kódové základně byly nezbytné pro ověření zjištění a vývoj robustních oprav,
dodává Fořt.
(Upozornil Adam Havelka.)
ČLÁNKY DO MAILU