Google-onderzoekers Tavis Ormandy heeft een ernstig beveiligingslek in GnuTLS gevonden, een vrije software-implementatie van de tls-, ssl- en dtls-protocollen. GnuTLS is een softwarebibliotheek waarmee andere programma’s beveiligde verbindingen kunnen opzetten.

De kwetsbare code zou sinds januari 2017 in de software aanwezig zijn. Destijds was er via een fuzzer een klein geheugenlek in GnuTLS ontdekt. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

De manier waarop het kleine geheugenlek werd opgelost zorgde echter voor een veel groter beveiligingslek waardoor een aanvaller kwetsbare systemen had kunnen overnemen, aldus Ormandy. Zowel clients als servers die GnuTLS gebruiken om X.509-certificaten te controleren zouden via een kwaadaardige server of man-in-the-middle-aanval kunnen worden gecompromitteerd.

Ormandy informeerde de ontwikkelaars van GnuTLS op 5 februari. Vandaag is GnuTLS 3.6.7 verschenen waarin het probleem is opgelost.