Readhub

研究人员发现，通过构造畸形 X.509 证书，可对主流密码算法库发起远程拒绝服务（DoS）攻击，导致系统资源耗尽甚至崩溃。该研究由阿里安全团队与美国印第安纳大学伯明顿分校联合开展，成果发表于 USENIX Security’25 会议，并获 Pwnie Awards 提名。研究团队在 OpenSSL、Botan、Bouncy Castle、Crypto++、GnuTLS、phpseclib 及 Apple 的 Security 库中发现了 18 个新 CVE 漏洞和 12 个已知漏洞。攻击者可利用这些漏洞构造恶意证书，通过 TLS 握手或 S/MIME 邮件等方式，使服务器或客户端系统瘫痪，影响包括 macOS/iOS 在内的多个平台。