- O conjunto de ferramentas AISLE AI expôs vulnerabilidades OpenSSL que remontam à era HTTPS mais antiga
- Mesmo códigos de segurança altamente auditados podem esconder falhas graves durante décadas
- Falhas e corrupção de memória continuam sendo modos de falha comuns em software criptográfico
OpenSSL é uma das bibliotecas criptográficas mais amplamente implantadas atualmente e constitui a base do HTTPS e das comunicações criptografadas na Internet.
Apesar de décadas de revisão, testes e escrutínio da comunidade, um lançamento coordenado de janeiro de 2026 abordou doze vulnerabilidades anteriormente não divulgadas.
Esses problemas variaram de falhas de gravidade alta e moderada a um conjunto maior de problemas de gravidade inferior envolvendo travamentos, erros de manipulação de memória e pontos fracos de criptografia.
Algumas destas falhas persistiram desde 1998, o que destaca os limites da revisão humana, mesmo em projectos fortemente examinados.
Conjunto de ferramentas de IA do AISLE usou detecção sensível ao contexto para analisar o código do OpenSSL, atribuiu pontuações de prioridade a ameaças potenciais e reduziu falsos positivos.
O sistema autónomo identificou os doze CVE conhecidos e também detectou seis problemas adicionais antes da divulgação pública.
O problema mais sério, CVE-2025-15467, envolvia um estouro de buffer de pilha na análise do CMS AuthEnvelopedData, que sob condições restritas poderia permitir a execução remota de código.
Uma falha relacionada, mas menos grave, CVE-2025-11187, resultou da falta de validação de parâmetros no tratamento do PKCS#12 e criou um caminho para buffer overflow baseado em pilha sem exploração garantida.
Várias vulnerabilidades causaram condições de negação de serviço por meio de travamentos ou esgotamento de recursos, em vez da execução direta de código.
CVE-2025-15468 desencadeou falhas durante o manuseio da cifra QUIC, CVE-2025-69420 afetou a verificação da resposta TimeStamp e CVE-2025-69421 causou falhas durante a descriptografia PKCS#12.
Comportamento de falha semelhante apareceu em CVE-2026-22795, vinculado à análise PKCS#12, e CVE-2026-22796, que interrompeu a verificação de assinatura PKCS#7 em caminhos de código legados.
Erros de manipulação de memória formaram outro conjunto de problemas.
CVE-2025-66199 habilitou o esgotamento de memória por meio da compactação de certificado TLS 1.3, o que poderia degradar a disponibilidade do sistema.
CVE-2025-68160 expôs corrupção de memória na lógica de buffer de linha e versões afetadas que datam do OpenSSL 1.0.2.
Uma falha separada, rastreada como CVE-2025-69419, envolvia corrupção de memória vinculada à codificação de caracteres PKCS#12, embora nem todas as vulnerabilidades causassem travamentos imediatos ou falhas visíveis.
CVE-2025-15469 introduziu truncamento silencioso no tratamento de assinaturas ML-DSA pós-quânticas, o que colocava em risco a correção criptográfica sem erros óbvios de tempo de execução.
CVE-2025-69418 afetou o modo de criptografia OCB em caminhos acelerados por hardware e pode enfraquecer as garantias de criptografia em configurações específicas.
Essas descobertas mostram Ferramentas de IA pode operar continuamente, examinar todos os caminhos de código em escala e evitar limites relacionados a tempo, atenção ou complexidade do código.
As ferramentas tradicionais de análise estática muitas vezes ignoram erros lógicos complexos ou vulnerabilidades dependentes de tempo, enquanto a análise autônoma pode revelar falhas sutis.
Ao integrar-se diretamente aos fluxos de trabalho de desenvolvimento, o processo resolveu essas descobertas antes que elas afetassem os usuários finais e mostrou um nível de cobertura e velocidade muito além da revisão manual.
Em colaboração com os mantenedores do OpenSSL, o processo assistido por IA também recomendou correções, e os mantenedores adotaram algumas diretamente no código do OpenSSL.
Isto mostra que a IA não substitui a experiência humana, mas acelera os processos de detecção e remediação.
Proteção de endpoint medidas e remoção de malware as estratégias podem se beneficiar de abordagens semelhantes baseadas em IA para identificar ameaças ocultas antes da implantação.
As descobertas do AISLE sugerem que a IA pode mudar a segurança cibernética de patches reativos para proteção proativa.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.