OpenSSL corrige vulnerabilidade crítica que permite execução remota de código

O projeto OpenSSL lançou uma nova atualização de segurança que corrige 12 vulnerabilidades no popular toolkit de encriptação SSL/TLS, incluindo uma falha de elevada gravidade que pode ser explorada para provocar execução remota de código ou negação de serviço (DoS).

A vulnerabilidade mais crítica, identificada como CVE-2025-15467, resulta de um stack buffer overflow no processamento de estruturas CMS AuthEnvelopedData que utilizam cifras AEAD, como o AES-GCM. De acordo com o aviso de segurança do OpenSSL, o problema ocorre quando o vetor de inicialização (IV) é copiado para um buffer de tamanho fixo sem validação adequada do seu comprimento, permitindo uma escrita fora dos limites da memória.

Este comportamento pode ser explorado através do envio de mensagens CMS manipuladas com IV excessivamente grandes, originando corrupção de memória antes de qualquer verificação de autenticação ou integridade. Embora a exploração com sucesso para execução remota de código dependa da plataforma e das proteções do compilador, o OpenSSL reconhece que o risco é significativo, dado que o ataque pode ser desencadeado sem necessidade de credenciais válidas ou material criptográfico legítimo.

As aplicações mais expostas são aquelas que processam conteúdos CMS ou PKCS#7 provenientes de fontes não confiáveis, incluindo cenários como S/MIME AuthEnvelopedData com AES-GCM, comuns em ambientes corporativos e infraestruturas de comunicação segura.

A atualização corrige ainda a CVE-2025-11187, classificada como vulnerabilidade de gravidade moderada, que também pode resultar em negação de serviço ou, em determinadas circunstâncias, execução remota de código. As restantes falhas corrigidas foram classificadas como de baixo impacto, estando maioritariamente associadas a condições de DoS, problemas de autenticação e exposição limitada de informação.

Todas as vulnerabilidades agora corrigidas foram descobertas pela empresa de cibersegurança Aisle, que recorreu a um analisador autónomo para identificar os problemas no código do OpenSSL. A empresa revelou ainda que, para além das 12 falhas com CVE atribuído, identificou outras seis vulnerabilidades que foram mitigadas antes de chegarem a integrar versões públicas do software.

A equipa do OpenSSL recomenda que todas as organizações atualizem de imediato as bibliotecas afetadas, sublinhando que o impacto potencial desta falha é particularmente relevante para serviços que operam em contextos de elevada exposição ou que processam dados criptográficos de origem externa.