Исследователи из компании Tripwire и Университета прикладных наук в Оффенбурге обнаружили ряд проблем в MatrixSSL — высокопроизводительной имплементации SSL/TLS, которая идеально подходит для IoT-устройств, и используется многими производителями, в том числе Canon, D-Link, Intel, Ixia и Motorola.
В блоге исследователи пишут, что обнаружили проблему у MatrixSSL X.509 certificate handling, проводя тестирование при помощи инструмента American Fuzzy Lop, созданного разработчиками Google. Специалистам удалось выявить три уязвимости: переполнение буфера хипа (CVE-2016-6890), перезапись буфера (CVE-2016-6891) и баг, касающийся работы функции x509FreeExtensions() (CVE-2016-6892).
Все обнаруженные проблемы были устранены в вышедшем в понедельник, 9 октября 2016 года, релизе MatrixSSL 3.8.6. Также разработчики сообщили, что производителей устройств поставили в известность об уязвимостях еще в сентябре, так что в скором времени они должны представить собственные патчи.
Тем не менее, исследователи выражают беспокойство, потому что, по их мнению, множество устройств, содержащих уязвимый код MatrixSSL, так и останутся без обновлений. В ряде случаев о патчах не позаботятся сами производители, в других случаях устанавливать обновления не станут сами пользователи.
«Если вы – производитель устройств и читаете эти строки, мой вам совет: подумайте о проектировании девайсов с более надежным механизмом обновлений и разработке практик быстрого саппорта устройств. Потребителям, в свою очередь, стоит больше давить на вендоров, вынуждая их исполнять обязательства по долгосрочной поддержке устройств», — заключают исследователи.
Фото: Depositphotos
