OpenSSL Khắc Phục Lỗ Hổng Nghiêm Trọng Được Phát Hiện Bởi Trí Tuệ Nhân Tạo

OpenSSL vừa tung ra các bản phát hành mới để khắc phục tổng cộng 18 lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng có khả năng dẫn đến việc thực thi mã từ xa (remote code execution). Điểm nhấn của đợt cập nhật này là sự tham gia của trí tuệ nhân tạo trong việc phát hiện ra các lỗi mã hóa nguy hiểm.

Lưu lượng truy cập và mã hóa OpenSSL

Lỗ hổng nghiêm trọng CVE-2026-45447

Lỗ hổng quan trọng nhất được theo dõi dưới mã định danh CVE-2026-45447. Đây là một lỗi "use-after-free" trên vùng nhớ heap (heap user-after-free) nằm trong một chức năng được sử dụng để xác minh PKCS#7 (Public-Key Cryptography Standard #7).

Lỗi này được phát hiện bởi một nhà nghiên cứu đến từ Calif thông qua sự hợp tác với Claude AI và nhóm nghiên cứu của Anthropic. Kẻ tấn công có thể kích hoạt lỗi này bằng cách gửi một thông điệp PKCS#7 hoặc S/MIME đã ký được thiết kế đặc biệt trong quá trình xác thực chữ ký PKCS#7.

Các nhà phát triển của OpenSSL giải thích rằng: "Khi xử lý một thông điệp ký PKCS#7 hoặc S/MIME, nếu trường digestAlgorithms của SignedData xuất hiện dưới dạng một tập hợp ASN.1 trống, OpenSSL có thể giải phóng sai một BIO thuộc sở hữu của người gọi trong quá trình thực hiện hàm PKCS7_verify(). Việc ứng dụng gọi sử dụng BIO này sau đó sẽ dẫn đến tình trạng use-after-free."

Việc khai thác lỗ hổng này có thể dẫn đến hỏng hóc vùng nhớ heap, làm ứng dụng bị sập và có thể cho phép thực thi mã từ xa.

Các lỗ hổng mức độ trung bình và thấp

Ngoài lỗi nghiêm trọng trên, bản cập nhật còn sửa chữa các lỗ hổng mức độ trung bình (moderate) có thể bị khai thác để giải mã các liên lạc được mã hóa, giả mạo bản mã (ciphertext) tùy ý, tung các cuộc tấn công Từ chối dịch vụ (DoS), qua mặt xác minh tính toàn vẹn và thực thi mã tùy ý.

Một trong những điểm yếu mức độ trung bình có thể khiến hệ thống bị lừa chấp nhận chứng chỉ và khóa riêng do kẻ tấn công kiểm soát, cho phép kẻ đó vượt qua các cơ chế xác thực với tỷ lệ thành công là 1 trên 256.

Các lỗ hổng mức độ thấp (low) khác có thể gây ra sự cố sập (DoS), giả mạo tin nhắn, khôi phục khóa riêng, thay thế chứng chỉ CA root và có thể dẫn đến thực thi mã tùy ý.

Vai trò của AI trong việc tìm kiếm lỗi

Alex Gaynor, đại diện của Anthropic, đã được ghi nhận là người đã báo cáo nửa tá lỗ hổng mới được vá trong đợt này. Điều này gợi ý rằng mô hình Mythos của "gã khổng lồ" AI này có thể đã đóng vai trò tích cực trong việc xác định các khiếm khuyết bảo mật.

Hiện tại, các lỗ hổng mức độ nghiêm trọng cao trong OpenSSL đang trở nên hiếm gặp. Năm ngoái chỉ có một lỗi nghiêm trọng được vá, và CVE-2026-45447 là lỗ hổng nghiêm trọng thứ hai của năm 2026. Vào tháng 4, các nhà phát triển OpenSSL cũng đã vá một lỗ hổng cho phép kẻ tấn công lấy cắp dữ liệu nhạy cảm.