В популярной библиотеке PolarSSL найдена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код как на стороне клиента, так и на стороне сервера. Дело в том, что проблема связана с обработкой полей ASN.1 сертификата. В функции asn1_get_sequence_of() не инициализируется указатель на связный список asn1_sequence, что может привести к вызову функции polarssl_free() с неинициализированным указателем, что может, в конечном итоге, и привести к выполнению вредоносного кода.

Проблема обостряется ещё и тем, что библиотека действительно является популярной, особенно на мобильных платформах iOS и Android (например, - OpenVPN), а также в роутерах, использующих прошивку на базе OpenWRT.

Подробности здесь.
Неофициальный патч тут.
Официальное уведомление.
Краткий список проектов, использующих библиотеку PolarSSL.