İnternetin büyük bir kısmını koruyan güvenlik standardı OpenSSL'de, siber güvenlik araştırmacıları tarafından yıllardır fark edilmeyen zafiyetler ortaya çıkarıldı. Yapay zeka destekli güvenlik araçlarının yardımıyla keşfedilen bu 12 güvenlik açığı, güvenlik dünyasında yeni bir dönemin habercisi olarak görülüyor.
Güvenlik alanında faaliyet gösteren bir ekibin paylaştığı bilgilere göre, OpenSSL kod tabanında tespit edilen 12 kritik güvenlik açığı için gerekli düzeltmeler yapıldı. Bu keşiflerin tamamı, yapay zeka destekli güvenlik araçlarının üstün yetenekleri sayesinde mümkün oldu.
Tespit edilen 12 güvenlik açığının tamamı, yüksek, orta ve düşük seviyede risk taşıyor. Bu açıklardan biri olan ve belirli koşullar altında saldırganlara uzaktan komut çalıştırma yeteneği kazandırabilen 'Stack Buffer Overflow' türündeki 'CVE-2025-15467', yüksek önem derecesine sahip. Diğer bir kritik açık olan 'CVE-2025-11187' ise eksik bir doğrulama mekanizmasını hedef alarak benzer şekilde 'stack-based buffer overflow'a yol açabiliyor ve orta seviyede tehlike arz ediyor.
- Yüksek ve Orta Seviyeli Güvenlik Açıkları:
- CVE-2025-15467: CMS AuthEnvelopedData Ayrıştırmada Stack Buffer Overflow (Yüksek): Belirli koşullar altında uzaktan kod yürütme potansiyeli olan bir zafiyet.
- CVE-2025-11187: PKCS#12'de PBMAC1 Parametre Doğrulaması (Orta): Stack tabanlı bir arabellek taşmasına neden olabilecek eksik doğrulama.
- Düşük Seviyeli Güvenlik Açıkları
- CVE-2025-15468: QUIC protokol şifre işleme hatası.
- CVE-2025-15469: Kuantum sonrası imza algoritmalarını (ML-DSA) etkileyen sessiz kesme hatası.
- CVE-2025-66199: TLS 1.3 sertifika sıkıştırması yoluyla bellek tükenmesi.
- CVE-2025-68160: Satır tamponlamasında bellek bozulması (OpenSSL 1.0.2'ye kadar olan kodları etkiliyor).
- CVE-2025-69418: Donanım hızlandırmalı yollarda OCB modunda şifreleme hatası.
- CVE-2025-69419: PKCS#12 karakter kodlamasında bellek bozulması.
- CVE-2025-69420: Zaman Damgası Yanıtı doğrulamasında çökme.
- CVE-2025-69421: PKCS#12 şifre çözmede çökme.
- CVE-2026-22795: PKCS#12 ayrıştırmada çökme.
- CVE-2026-22796: PKCS#7 imza doğrulamada çökme (OpenSSL 1.0.2'ye kadar olan kodları etkiliyor).
Diğer güvenlik açıkları ise bellek tükenmesi, bellek bozulması, şifreleme hataları ve programın doğrudan çökmesi gibi düşük seviyeli riskler taşıyor. Yapılan incelemelerde, bu açıklardan bazılarının 1998 yılına kadar uzandığı belirtiliyor. Bu durum, insan eliyle yapılan güvenlik açığı tespitinin ne kadar zorlu ve sınırlı olabileceğini gözler önüne seriyor.
HTTPS uzantılı bir web sitesini ziyaret ettiğinizde, o sitenin büyük olasılıkla OpenSSL ile korunup şifrelendiğini unutmamak gerekir. Güvenlik açığı tespitinde yapay zeka destekli araçların önemi, bu gelişmeyle birlikte daha net ortaya çıkıyor.
Ekibin geliştirdiği yapay zeka tabanlı güvenlik araçları, kodun bağlamını anlayarak tehditleri daha etkili bir şekilde tespit edebiliyor. Bu araçlar, yanlış pozitifleri azaltmak için bulunan tehditlere öncelik skorları atayarak çalışıyor.
Yapay zeka destekli güvenlik çözümleri, günümüzdeki giderek artan yapay zeka destekli siber saldırılara karşı hem güvenlik sistemlerinin hem de firmaların etkinliğini artırmak amacıyla güvenlik sektöründe hızla benimseniyor. Bu teknoloji, gelecekteki siber tehditlere karşı daha güçlü bir savunma hattı oluşturacak gibi görünüyor.
