O projeto OpenSSL publicou hoje novas atualizações que corrigem 18 vulnerabilidades em seu código, incluindo uma falha de alta gravidade que abre caminho para a execução remota de código malicioso. A informação detalhada sobre as atualizações consta em um artigo técnico, apontando que o uso de modelos de inteligência artificial auxiliou na descoberta de múltiplos problemas de segurança na biblioteca criptográfica.
Detalhes do problema de alta gravidade
A principal vulnerabilidade corrigida, registrada sob o identificador CVE-2026-45447 (CVSS de 8.8), consiste em uma falha de uso após a liberação de memória na função utilizada para a verificação do padrão criptográfico PKCS#7. Segundo os desenvolvedores do OpenSSL explicaram em comunicado técnico, o defeito ocorre ao processar uma mensagem assinada via PKCS#7 ou S/MIME caso o campo de algoritmo de resumo de dados se apresente como um conjunto ASN.1 vazio. Sob essa condição específica, a biblioteca libera incorretamente uma estrutura de entrada e saída controlada pelo chamador do sistema durante a rotina de validação, resultando em corrupção de memória e possíveis falhas estruturais.
Participação de inteligência artificial
A vulnerabilidade crítica foi localizada por um pesquisador da Calif em parceria com o assistente Claude AI e com a equipe da Anthropic Research. Outras falhas corrigidas na mesma rodada de atualizações, que possuem níveis de severidade moderado e baixo, envolvem riscos associados à falsificação de mensagens, à burla de mecanismos de integridade e à decodificação indesejada de comunicações criptografadas.
De acordo com Kovacs, o pesquisador Alex Gaynor, integrante da equipe da Anthropic, recebeu o crédito oficial pelo reporte de meia dúzia de vulnerabilidades resolvidas. O editor apontou que esses indícios sugerem que o modelo inteligente Mythos, desenvolvido pela própria organização de inteligência artificial, atuou ativamente na varredura automatizada que identificou os defeitos na arquitetura do OpenSSL.
