当用户使用类似于Facebook或Gmail等用户认为安全的网站发送信息时,对端计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应。通过向存在漏洞的目标发送畸形的Heartbeat请求,攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得信用卡密码,私人邮件等有价值的信息。
在程序代码中引入Heartbleed的责任人是德国程序员Robin Seggelmann。2011年新年前夕,他向OpenSSL项目递交了一系列漏洞修正和新增功能,其中一个补丁
包含着未对长度变量进行验证的漏洞。代码审查者Stephen Henson在审查代码时也没有注意到这个错误,这个bug随后就被包含在了新版OpenSSL中。
Google安全专家Neel Mehta于
2014年4月3日率先提交了针对本漏洞的秘密报告。这个编号为CVE-2014-0160的漏洞随后被提名命名为"HeartBleed"(心脏出血),喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。
由于未确认心跳包长度与实际载荷长度匹配,因此当其处理畸形的心跳包时就会将心跳包后的内存区块一同发送给对端,从而导致信息泄漏。该漏洞可以被用于让每个心跳包显示至多64千字节的应用程序内存内容。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
