In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.
Es handelt sich um eine Memory-Corruption-Lücke, die das Überschreiben von Speicher erlaubt. Diese konnte von einem bösartigen Server noch vor der Überprüfung der Serveridentität ausgelöst werden. Es wurde zudem ein Fehler bei der Verwendung von Zufallszahlen gefunden. Unter Windows kann eine Help-Datei, die sich im selben Verzeichnis wie die Putty-Datei befindet, für Angriffe genutzt werden.
Auch wenn Anwender Putty nicht direkt benutzen, so können sie trotzdem betroffen sein:
Eine ganze Reihe von grafischen Frontends für SSH und das zugehörige Dateiübertragungsprotokoll SFTP setzen den Code von Putty ein. Filezilla gehört dazu und sollte deshalb auf die neuste Version 3.41.2 geupdatet werden.