- AISLE AI araç seti, en eski HTTPS dönemine kadar uzanan OpenSSL güvenlik açıklarını ortaya çıkardı
- Yoğun şekilde denetlenen güvenlik kodu bile ciddi kusurları onlarca yıl gizleyebilir
- Kilitlenmeler ve bellek bozulması, kriptografik yazılımlarda yaygın hata türleri olmaya devam ediyor
OpenSSL, günümüzde en yaygın olarak kullanılan şifreleme kitaplıklarından biridir ve HTTPS’nin ve İnternet üzerinden şifrelenmiş iletişimin temelini oluşturur.
Onlarca yıl süren inceleme, test ve topluluk incelemelerine rağmen, koordineli Ocak 2026 sürümünde daha önce açıklanmayan on iki güvenlik açığı ele alındı.
Bu sorunlar, yüksek ve orta önem derecesine sahip kusurlardan, çökmeler, bellek işleme hataları ve şifreleme zayıflıkları gibi daha düşük önem derecesine sahip daha geniş bir dizi soruna kadar uzanıyordu.
Bu kusurlardan bazıları 1998’den bu yana devam ediyor; bu durum, yoğun biçimde incelenen projelerde bile insan incelemesinin sınırlarını ortaya koyuyor.
AISLE’nin yapay zeka araç seti OpenSSL kodunu analiz etmek için bağlama duyarlı algılamayı kullandı, potansiyel tehditlere öncelik puanları atadı ve yanlış pozitifleri azalttı.
Otonom sistem, bilinen on iki CVE’yi belirledi ve ayrıca kamuya açıklanmadan önce altı ek sorun daha tespit etti.
En ciddi sorun olan CVE-2025-15467, CMS AuthEnvelopedData ayrıştırmasında, kısıtlı koşullar altında uzaktan kod yürütülmesine izin verebilen yığın arabellek taşmasını içeriyordu.
İlgili ancak daha az ciddi bir kusur olan CVE-2025-11187, PKCS#12 işlemedeki eksik parametre doğrulamasından kaynaklandı ve kullanılabilirliği garanti edilmeksizin yığın tabanlı arabellek taşması için bir yol oluşturdu.
Çeşitli güvenlik açıkları, doğrudan kod yürütmek yerine çökmeler veya kaynakların tükenmesi nedeniyle hizmet reddi koşullarına neden oldu.
CVE-2025-15468, QUIC şifre işleme sırasında çökmeleri tetikledi, CVE-2025-69420 TimeStamp Response doğrulamasını etkiledi ve CVE-2025-69421, PKCS#12 şifre çözme sırasında hatalara neden oldu.
Benzer kilitlenme davranışı, PKCS#12 ayrıştırmasına bağlanan CVE-2026-22795’te ve eski kod yollarında PKCS#7 imza doğrulamasını bozan CVE-2026-22796’da ortaya çıktı.
Bellek işleme hataları başka bir sorun kümesini oluşturdu.
CVE-2025-66199, TLS 1.3 sertifika sıkıştırması yoluyla belleğin tükenmesine olanak tanıdı ve bu da sistem kullanılabilirliğini bozabilir.
CVE-2025-68160, satır arabellekleme mantığında bellek bozulmasını açığa çıkardı ve OpenSSL 1.0.2’ye kadar uzanan etkilenen sürümler.
CVE-2025-69419 olarak takip edilen ayrı bir kusur, PKCS#12 karakter kodlamasına bağlı bellek bozulmasını içeriyordu, ancak tüm güvenlik açıkları anında çökmelere veya gözle görülür hatalara neden olmadı.
CVE-2025-15469, kuantum sonrası ML-DSA imza işlemede, bariz çalışma zamanı hataları olmadan kriptografik doğruluğu riske atan sessiz kesmeyi ortaya çıkardı.
CVE-2025-69418, donanım hızlandırmalı yollarda OCB şifreleme modunu etkiledi ve belirli yapılandırmalar altındaki şifreleme garantilerini zayıflatabilir.
Bu keşifler gösteriyor Yapay zeka araçları sürekli çalışabilir, tüm kod yollarını uygun ölçekte inceleyebilir ve zaman, dikkat veya kod karmaşıklığıyla ilgili sınırlamalardan kaçınabilir.
Geleneksel statik analiz araçları genellikle karmaşık mantık hatalarını veya zamana bağlı güvenlik açıklarını gözden kaçırırken, otonom analiz ince kusurları ortaya çıkarabilir.
Süreç, doğrudan geliştirme iş akışlarına entegre edilerek bu bulguları son kullanıcıları etkilemeden önce çözdü ve manuel incelemenin çok ötesinde bir kapsam ve hız düzeyi sergiledi.
Yapay zeka destekli süreç, OpenSSL bakımcılarıyla işbirliği içinde düzeltmeler de önerdi ve bakımcılar bunlardan bazılarını doğrudan OpenSSL koduna uyarladı.
Bu, yapay zekanın insan uzmanlığının yerini almadığını, bunun yerine tespit ve iyileştirme süreçlerini hızlandırdığını gösteriyor.
Uç nokta koruması önlemler ve kötü amaçlı yazılım temizleme stratejiler, dağıtımdan önce gizli tehditleri tespit etmek için benzer yapay zeka odaklı yaklaşımlardan yararlanabilir.
AISLE bulguları, yapay zekanın siber güvenliği reaktif yama uygulamasından proaktif korumaya dönüştürebileceğini gösteriyor.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve elbette siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.