ormandy

OpenSSL于2022年3月15日发布安全公告，宣布修补了与凭证解析有相关的严重阻断服务攻击(Denial of Service DoS)资安漏洞，建议用户立即进行更新。 该漏洞的编号为CVE-2022-0778，由Google的研究人员Tavis Ormandy提报给OpenSSL。据OpenSSL官方公告，由于解析凭证时用到的BN_mod_sqrt()函数存在一个问题，在某些情况下骇客可以制作恶意凭证，利用该漏洞使目标系统无法提供服务

Ormandy 指出，攻击者能够将命令隐藏在与这个开放 RPC 服务器交互的网页中。攻击者只需诱骗易受攻击的 uTorrent 客户端上的用户访问一个恶意网页即可。 另外，uTorrent 客户端也易受 DNS 重新绑定攻击，即攻击者能将自己向 RPC 服务器的请求合法化