Пять миллиардов устройств внезапно стали доверять кому попало. Все дело в маленькой ошибке в коде
NewsMakerВредоносный сервер теперь может представиться вашим лучшим другом.
Популярная библиотека безопасности wolfSSL , на которой держится защита миллиардов устройств, неожиданно дала сбой. Ошибка оказалась настолько серьёзной, что позволяет подделывать цифровые сертификаты и выдавать вредоносные серверы за доверенные.
Проблема затрагивает проверку цифровых подписей. В wolfSSL неправильно проверяется алгоритм хеширования или размер хэша при работе с подписями на эллиптических кривых. В результате система может принять поддельный сертификат как настоящий и установить соединение с атакующим.
wolfSSL – это компактная реализация протоколов TLS и SSL на языке C. Её используют во встраиваемых системах, устройствах интернета вещей , промышленном оборудовании, маршрутизаторах, автомобилях и даже в авиационной и военной технике. По данным разработчиков, библиотека работает более чем в 5 млрд устройств и приложений по всему миру.
Проблеме присвоили идентификатор CVE-2026-5194 (оценка по CVSS: 9.3). Ошибка связана с проверкой криптографических параметров и позволяет использовать слишком слабые хэши при проверке сертификатов. Уязвимость затрагивает сразу несколько алгоритмов: ECDSA , DSA, ML-DSA, Ed25519 и Ed448. Если в сборке одновременно включены ECC и EdDSA или ML-DSA, разработчики советуют срочно обновить библиотеку.
Популярная библиотека безопасности wolfSSL , на которой держится защита миллиардов устройств, неожиданно дала сбой. Ошибка оказалась настолько серьёзной, что позволяет подделывать цифровые сертификаты и выдавать вредоносные серверы за доверенные.
Проблема затрагивает проверку цифровых подписей. В wolfSSL неправильно проверяется алгоритм хеширования или размер хэша при работе с подписями на эллиптических кривых. В результате система может принять поддельный сертификат как настоящий и установить соединение с атакующим.
wolfSSL – это компактная реализация протоколов TLS и SSL на языке C. Её используют во встраиваемых системах, устройствах интернета вещей , промышленном оборудовании, маршрутизаторах, автомобилях и даже в авиационной и военной технике. По данным разработчиков, библиотека работает более чем в 5 млрд устройств и приложений по всему миру.
Проблеме присвоили идентификатор CVE-2026-5194 (оценка по CVSS: 9.3). Ошибка связана с проверкой криптографических параметров и позволяет использовать слишком слабые хэши при проверке сертификатов. Уязвимость затрагивает сразу несколько алгоритмов: ECDSA , DSA, ML-DSA, Ed25519 и Ed448. Если в сборке одновременно включены ECC и EdDSA или ML-DSA, разработчики советуют срочно обновить библиотеку.