OpenSSL

微軟曾在2015年宣布要以PowerShell來完成Windows對OpenSSH的支援，這次則是直接讓OpenSSH成為Windows 10的內建功能，也被視為是微軟大力擁抱開源社群的成果之一

Node.js的HTTP2、TLS模組與底層OpenSSL的漏洞，使駭客可以利用Node.js的TLS或HTTP/2模組，繞過TLS的授權或加密動作傳送資料。

2014年揭露的Heartbleed臭蟲可導致受OpenSSL保護的記憶體資料外洩，曾被稱為網路有史以來最嚴重的臭蟲，當時估計全球有61.5萬個網站或裝置受影響，網路裝置搜尋引擎Shodan指出至今仍有近20萬裝置尚未修補。

OpenSSL上周釋出OpenSSL 1.1.0C，共修補三項漏洞，其中CVE-2016-7054為高風險的DoS漏洞，存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸，屬堆積緩衝區溢位漏洞，可癱瘓伺服器。

駭客鎖定該漏洞進行攻擊，當持續傳遞大型OCSP狀態請求擴展時，會耗盡伺服器上的記憶體，造成阻斷服務攻擊。如使用OpenSSL 1.0.1g之前版本沒有特別啟用OCSP則不會受到影響。

新釋出的版本修補了兩個重大漏洞，其中一個屬「密文填塞」漏洞，能藉由傳遞不同填充內容的加密訊息至伺服器進行驗證，並依據回應內容解密。另一個重大漏洞屬於記憶體毀損漏洞，出現在OpenSSL所使用的ASN.1編碼器中，可允許駭客執行任意程式。

OpenSSL專案小組近日緊急預告，將於7月9日釋出OpenSSL 1.0.2d和1.0.1p新版，來修補一個高風險漏洞。這類漏洞過去多屬可以遠端遙控、發動DoS攻擊與外洩記憶體資料的漏洞

伺服器端和用戶端必須同時都安裝了問題OpenSSL的軟體才會容易遭駭，被駭客發動CCS注入漏洞攻擊，Google於6月5日也緊急更新採用此問題OpenSSL版本的Android版Chrome瀏覽器