Специалисты из Университета прикладных наук в Оффенбурге и компании Tripwire выявили уязвимости в MatrixSSL.
MatrixSSL – это высокопроизводительная реализация протоколов SSL и TLS, которая используется в IoT-устройствах производства Canon, D-Link, Intel, Ixia и Motorola.
По словам исследователей, они выявили проблему в MatrixSSL X.509 certificate handling в ходе тестирования с использованием утилиты American Fuzzy Lop, разработанной в Google. Специалисты выявили уязвимости, связанные с переполнением буфера хипа и перезаписью буфера, а также ошибку в работе функции x509FreeExtensions().
9 октября все выявленные уязвимости были ликвидированы в рамках релиза MatrixSSL 3.8.6. Кроме того, по словам разработчиков, производители устройств еще в сентябре получили информацию об уязвимостях, так что вскоре они должны выпустить собственные исправления.
Однако эксперты обеспокоены тем, что многие устройства, содержащие уязвимый код MatrixSSL, так и не будут обновлены. Во многих случаях сами производители не выпускают обновления, а иногда при наличии патчей пользователи не спешат их устанавливать.