OpenSSL发布更新修复18个漏洞，含AI协助发现的高危缺陷

资讯专家

OpenSSL 近日发布了最新版本，修补了共计 18 个安全漏洞，其中包括一个由 AI 辅助发现的高危漏洞（CVE-2026-45447）。该高危漏洞位于用于 PKCS#7 数据验证的函数中，属于堆释放后使用（heap user-after-free）问题。

据 OpenSSL 开发团队介绍，当处理一个 PKCS#7 或 S/MIME 签名消息时，如果 SignedData 中的 digestAlgorithms 字段是一个空的 ASN.1 SET，OpenSSL 在调用 PKCS7_verify() 时可能会错误地释放调用方所拥有的 BIO 对象。随后调用方再次使用该 BIO 时，就会触发释放后使用的条件。攻击者可通过精心构造的签名消息触发此漏洞，导致堆内存损坏、进程崩溃，甚至可能实现远程代码执行。

该漏洞由一名加州研究人员联合 Claude AI 及 Anthropic Research 发现。Anthropic 的 Alex Gaynor 被列为本次修补的半数漏洞的发现者，暗示其 Mythos 模型在漏洞挖掘中发挥了作用。

此外，本次还修补了多个中等严重程度的漏洞，影响范围包括：加密通信解密、伪造任意密文、发起 DoS 攻击、绕过完整性校验、执行任意代码等。其中一种中等危漏洞可诱导系统接受伪造的攻击者控制的证书和私钥，以 1/256 的成功概率绕过认证机制。低危漏洞则可能导致服务崩溃（DoS）、消息伪造、私钥恢复、根 CA 证书替换以及可能的任意代码执行。

近年来 OpenSSL 的高危漏洞已较为罕见——2025 年全年只修补了 1 个，而 2026 年截至目前 CVE-2026-45447 是第 2 个。今年 4 月，OpenSSL 开发者也曾修补过一个可致敏感数据泄露的漏洞。建议所有使用 OpenSSL 的用户尽快升级至最新版本。