OpenSSL-lek gevonden met AI kan mogelijk tot remote code execution leiden

woensdag, 10 juni 2026 (15:09) - Security.NL

In dit artikel:

Een recent door het OpenSSL-team gepatchte kwetsbaarheid (CVE-2026-45447) — door een onderzoeker van Calif.io met behulp van AI en in samenwerking met Claude en Anthropic Research geïdentificeerd — kan bij het verwerken van PKCS#7 of S/MIME-gesigneerde berichten een use-after-free veroorzaken. Die fout treedt op tijdens de verificatie van de handtekening en kan leiden tot een crash en in sommige omstandigheden mogelijk remote code execution. Omdat OpenSSL veel wordt gebruikt voor het versleutelen van internetverkeer en bij mailservers, vergroot dit de reikwijdte van het risico voor systemen die de PKCS#7-API gebruiken; applicaties die de CMS-API inzetten blijven buiten beeld. Het probleem kreeg de zeldzame classificatie “High” — een beoordeling die OpenSSL-lekken de afgelopen 3,5 jaar slechts driemaal kregen. Naast deze hoofdkwetsbaarheid zijn nog zeventien minder ernstige lekken dichtgeplakt. Beheerders worden geadviseerd te updaten naar de gepubliceerde releases (onder meer 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21; versies 1.1.1zh en 1.0.2zq zijn voor betalende klanten).

Lees het volledige artikel