Close Menu
    Самые свежие новости
    Среда, 25 марта
    Software Новости

    ИИ-команда по кибербезопасности обнаружила 12 уязвимостей в OpenSSL — некоторые из них существовали десятилетиями

    Илья Родионов

    OpenSSL — один из ключевых компонентов современной интернет-безопасности, лежащий в основе защиты подавляющего большинства HTTPS-соединений. Однако, как выяснилось, даже столь критически важный проект может скрывать серьёзные проблемы годами. Команда по кибербезопасности компании Aisle сообщила об обнаружении 12 уязвимостей (CVE) в кодовой базе OpenSSL, причём некоторые из них, по утверждению исследователей, берут начало ещё в 1998 году.

    Все уязвимости были выявлены исключительно с помощью ИИ-инструментов анализа кода, после чего для каждой из них были подготовлены исправления. В Aisle заявляют, что именно человек сегодня является «узким местом» в поиске подобных багов — слишком сложных, скрытых и глубоко укоренённых.

    Уязвимости разной степени критичности

    Обнаруженные CVE охватывают высокий, средний и низкий уровни опасности. Наиболее серьёзные из них потенциально позволяют злоумышленникам выполнять произвольный код или вызывать переполнение памяти.

    Уязвимости высокой и средней степени опасности

    • CVE-2025-15467 (High)переполнение буфера стека при разборе CMS AuthEnvelopedData. При определённых условиях может привести к удалённому выполнению кода.

    • CVE-2025-11187 (Moderate) — ошибка валидации параметров PBMAC1 в PKCS#12, способная вызвать stack-based buffer overflow.

    Уязвимости низкой степени опасности

    • CVE-2025-15468 — аварийное завершение при обработке шифров QUIC

    • CVE-2025-15469 — «тихая» усечённая обработка постквантовых подписей (ML-DSA)

    • CVE-2025-66199 — истощение памяти через сжатие сертификатов TLS 1.3

    • CVE-2025-68160 — повреждение памяти в line-buffering (затрагивает код вплоть до OpenSSL 1.0.2)

    • CVE-2025-69418 — ошибка шифрования в режиме OCB при аппаратном ускорении

    • CVE-2025-69419 — повреждение памяти при обработке кодировок PKCS#12

    • CVE-2025-69420 — сбой при проверке TimeStamp Response

    • CVE-2025-69421 — сбой при расшифровке PKCS#12

    • CVE-2026-22795 — сбой при парсинге PKCS#12

    • CVE-2026-22796 — сбой при проверке подписей PKCS#7 (также затрагивает OpenSSL 1.0.2)

    Большинство этих проблем приводит «лишь» к сбоям, повреждению памяти или утечке ресурсов, однако в контексте инфраструктурного ПО масштаба OpenSSL даже такие баги считаются крайне нежелательными.

    Уязвимости, пережившие десятилетия

    По словам Aisle, часть найденных проблем присутствовала в коде более 25 лет, оставаясь незамеченной несмотря на огромное количество аудиторов, исследователей и автоматических анализаторов, прошедших через проект за это время.

    Это подчёркивает фундаментальную проблему ручного и полуавтоматического анализа безопасности:
    человеческие ревью плохо масштабируются, особенно в проектах с:

    • миллионами строк кода;

    • историческим багажом;

    • сложными криптографическими допущениями.

    Как помог искусственный интеллект

    ИИ-платформа Aisle использует контекстно-осознанный анализ, способный:

    • понимать назначение и логику кода, а не просто сигнатуры;

    • выявлять нетипичные пути исполнения;

    • присваивать угрозам приоритеты, снижая количество ложных срабатываний.

    По утверждению компании, именно такая комбинация позволила обнаружить баги, которые «десятилетиями ускользали от людей».

    Тренд: ИИ против ИИ

    ИИ-поддерживаемая кибербезопасность стремительно становится стандартом отрасли. Это во многом ответ на рост ИИ-ассистированных атак, где злоумышленники сами используют машинное обучение для:

    • поиска уязвимостей;

    • автоматизации эксплуатации;

    • масштабирования атак.

    Ранее исследователи уже демонстрировали ИИ-системы, способные предсказывать криминальное поведение с точностью до 82,8%, и подобные подходы всё активнее внедряются в защитные решения.

    Вывод

    История с OpenSSL наглядно показывает, что:

    • даже самый проверенный и массово используемый код может скрывать критические дефекты десятилетиями;

    • традиционные методы аудита безопасности достигли предела эффективности;

    • ИИ перестаёт быть вспомогательным инструментом и становится необходимым элементом киберзащиты.

    В эпоху, когда ИИ используют обе стороны — и защитники, и атакующие — отказ от таких инструментов может оказаться фатальным.

    Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru.

    ЧИТАТЬ БОЛЬШЕ НОВОСТЕЙ

    Leave A Reply