最新のOpenSSLリリースでは18件の脆弱性が修正されており、その中にはリモートコード実行を可能にする恐れのある深刻度の高い問題も含まれています。
CVE-2026-45447として追跡されているこの深刻な脆弱性は、PKCS#7(公開鍵暗号標準 #7)の検証に使用される関数に存在するヒープuse-after-freeバグです。
カリフォルニア州の研究者がClaude AIおよびAnthropicリサーチとの共同作業で発見したこのバグは、PKCS#7署名の検証中に細工されたPKCS#7またはS/MIME署名メッセージを使用することでトリガーできます。
「PKCS#7またはS/MIME署名メッセージを処理する際、SignedDataのdigestAlgorithmsフィールドが空のASN.1 SETとして存在する場合、OpenSSLはPKCS7_verify()の実行中に呼び出し元が所有するBIOを誤って解放する可能性があります。その後、呼び出し元アプリケーションがそのBIOを使用すると、use-after-free状態が発生します」とOpenSSLの開発者は説明しています。
この脆弱性を悪用されると、ヒープの破損やプロセスのクラッシュ、さらにはリモートコード実行につながる可能性があります。
OpenSSLで修正された中程度の深刻度の脆弱性を悪用されると、暗号化通信の復号、任意の暗号文の偽造、DoS攻撃の実行、整合性検証のバイパス、任意コードの実行が可能になります。
中程度の深刻度の脆弱性の一つは、攻撃者が制御する偽の証明書と秘密鍵をシステムに受け入れさせるために悪用される恐れがあり、256回に1回の成功率で認証機構をバイパスできる可能性があります。
低深刻度の脆弱性は、クラッシュ(DoS)、メッセージの偽造、秘密鍵の窃取、ルートCA証明書の置き換え、さらには任意コードの実行につながる可能性があります。
AnthropicのAlex Gaynorは今回修正された脆弱性のうち6件の報告者として名を連ねており、このAI大手のMythosモデルが脆弱性の発見に貢献した可能性を示唆しています。
OpenSSLにおける深刻度の高い脆弱性は、近年まれな存在となっています。昨年修正された深刻度の高い問題は1件のみで、CVE-2026-45447は2026年に修正された2件目の深刻な脆弱性となります。
4月には、攻撃者が機密データを取得できる脆弱性がOpenSSL開発者によって修正されました。
翻訳元: https://www.securityweek.com/openssl-patches-high-severity-vulnerability-found-with-ai/
