Исследователи из компании Tripwire и Университета прикладных наук  в Оффенбурге обнаружили ряд проблем в MatrixSSL — высокопроизводительной имплементации SSL/TLS, которая идеально подходит для IoT-устройств, и используется многими производителями, в том числе Canon, D-Link, Intel, Ixia и Motorola.

В блоге исследователи пишут, что обнаружили проблему у MatrixSSL X.509 certificate handling, проводя тестирование при помощи инструмента American Fuzzy Lop, созданного разработчиками Google. Специалистам удалось выявить три уязвимости: переполнение буфера хипа (CVE-2016-6890), перезапись буфера (CVE-2016-6891) и баг, касающийся работы функции x509FreeExtensions() (CVE-2016-6892).

Все обнаруженные проблемы были устранены в вышедшем в понедельник, 9 октября 2016 года, релизе MatrixSSL 3.8.6. Также разработчики сообщили, что производителей устройств поставили в известность об уязвимостях еще в сентябре, так что в скором времени они должны представить собственные патчи.

Тем не менее, исследователи выражают беспокойство, потому что, по их мнению, множество устройств, содержащих уязвимый код MatrixSSL, так и останутся без обновлений. В ряде случаев о патчах не позаботятся сами производители, в других случаях устанавливать обновления не станут сами пользователи.

«Если вы – производитель устройств и читаете эти строки, мой вам совет: подумайте о проектировании девайсов с более надежным механизмом обновлений и разработке практик быстрого саппорта устройств. Потребителям, в свою очередь, стоит больше давить на вендоров, вынуждая их исполнять обязательства по долгосрочной поддержке устройств», — заключают исследователи.

Фото: Depositphotos



1 комментарий

  1. appmessenger

    16.10.2016 at 09:54

Оставить мнение