Wie schön dass das Openssl Rop hacking interface in Boringssl noch drin ist

Wie wir alle wissen enthält Openssl ein interface mit dem man auf
jede beliebige adresse springen kann:

http://freshbsd.org/commit/openbsd/f868fc6f39a2c45a6c2bab70addc92525d
467904

Weil so eine Funktion besonders toll für Angreifer ist die ROP hacks
ausführen, wurde das Zeug aus LibreSSL sofort entfernt:

https://www.youtube.com/watch?v=GnBbhXBDmwU#t=47m20s

In BoringSSL ist das natürlich alles drin geblieben:

https://boringssl.googlesource.com/boringssl/+/3ffd70ec3692f577a94729
5152fb041ff4b8607b/crypto/cpu-x86-asm.pl

Laut dem englischen Wikipedia Eintrag wird OpenSSL unter anderem vom
amerikanischen Verteidigungsministerium und vom Homeland Security
Department finanziert.

Es kann ja jetzt echt nicht sein, dass die NSA (oder der NSA und BND
merger JSA, der unter diesem schönen Wappen bestehend aus Deutscher
Flagge und NSA Seeadler http://www.spiegel.de/media/media-34026.pdf ,
den weltgrößten Internetknoten de-cix abschnorchelt) die
Abhörschnittstellen verliert.

Klar dass da frühzeitig Ersatz in Form einer neuen, vorgeblich
sicheren Bibliothek her musste...