當(dāng)用戶使用類似于Facebook或Gmail等用戶認(rèn)為安全的網(wǎng)站發(fā)送信息時，對端計算機需要了解另一端的計算機是否仍然在線，所以他們會發(fā)出一個被稱為“心臟跳動”（Heartbeat） 的小型數(shù)據(jù)包，請求對方響應(yīng)，如果另一端計算機也在線，他們就會使用內(nèi)存中儲存的信息做出響應(yīng)。通過向存在漏洞的目標(biāo)發(fā)送畸形的Heartbeat請求，攻擊者能夠誘使對方使用內(nèi)存中的敏感數(shù)據(jù)作出回應(yīng)，從而獲得信用卡密碼，私人郵件等有價值的信息。
在程序代碼中引入Heartbleed的責(zé)任人是德國程序員Robin Seggelmann。2011年新年前夕，他向OpenSSL項目遞交了一系列漏洞修正和新增功能，其中一個補丁包含著未對長度變量進行驗證的漏洞。代碼審查者Stephen Henson在審查代碼時也沒有注意到這個錯誤，這個bug隨后就被包含在了新版OpenSSL中。
Google安全專家Neel Mehta于2014年4月3日率先提交了針對本漏洞的秘密報告。這個編號為CVE-2014-0160的漏洞隨后被提名命名為"HeartBleed"（心臟出血），喻指畸形的Heartbeat請求導(dǎo)致用戶隱私如血液般涌出。由于未確認(rèn)心跳包長度與實際載荷長度匹配，因此當(dāng)其處理畸形的心跳包時就會將心跳包后的內(nèi)存區(qū)塊一同發(fā)送給對端，從而導(dǎo)致信息泄漏。該漏洞可以被用于讓每個心跳包顯示至多64千字節(jié)的應(yīng)用程序內(nèi)存內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的OpenSSL心脏出血漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。