趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:卡加莱能对此声称:“这种现象正是我们担心的。服务器突然将内存中的数据大量溢出,我们在进一步调查了回应信息之后,很快就发现这可能是一个非常非常严重的漏洞。”
突发:美军战斗机被击落
网友:惹急了我连自己都干!
紫燕百味鸡回应大肠杆菌超百倍
网友:平台和监管部门要加强监管力度,不能指望百姓来解决这些问题。
叙利亚发现乱葬岗 至少埋10万人
网友:西方媒体说的话,那还是让子弹再飞一会吧。
俄称阿萨德已放弃叙利亚总统职位
网友:这次进度快得诡异更像是阿萨德开摆自爆,但是攻城容易守城难,后续还有的乱了。
北大教授因女儿痛经研发新药
网友:饱受痛经痛苦的女士们都希望早日拥有解除经期痛苦副作用小的药物面世。
深圳一女游客疑因拍照不慎坠海身亡
网友:翻到栏杆外面去了吧,不然怎么可能,那么高的栏杆。

趋势网(微博)讯:本周初,安全公司Codenomicon的工程师安蒂·卡加莱能(Antti Karjalainen)在正常的工作时,却偶然发现了互联网史上最大的安全漏洞——Heartbleed(心脏流血)漏洞。卡加莱能也是Codenomicon安全公司揭示Heartbleed漏洞的三位功勋工程师之一。

,黑客,Google,工程师讲述Heartbleed漏洞发现过程

黑龙江一企业禁止员工去冰雪大世界  女子遭老板性侵后被公司开除  突发:美军战斗机被击落  

Heartbleed漏洞影响了被广泛使用的开放源代码SSL安全套件OpenSSL的加密协议。简言之,这个漏洞可以诱使服务器将其内存中的数据溢出来,从而可能让黑客掌握这一漏洞,并进一步窃取诸如信用 卡和密码等之类的敏感信息。

卡加莱能,以及其在Codenomicon公司中的同事瑞库·希塔马基(Riku Hietamaki)和马蒂·卡莫能(Matti Kamunen),还有谷歌(微博)安全人员尼尔·米赫塔(Neel Mehta,非Codenomicon工作人员),被认为是最先发现Heartbleed漏洞的几位人员。卡加莱能声称,他是在和希塔马基共同更新Codenomicon公司程序测试组件的功能时发现这个漏洞的。

据卡加莱能披露,Codenomicon公司程序测试软件的新功能名为“Safeguard”,旨在识别各种新型的软件漏洞。卡加莱能还称,他最初在对OpenSSL的Heartbeat功能增加支持程序时,发现了一些错误的地方。Heartbeat功能是用来测试连接是否安全的功能,可以让一台服务器向另一台服务器发送任意数据,然后接收服务器再将数据完全一样的复制品发回原先的发送服务器,以此证明这种连接的安全性,

安全互联网的王冠:

Codenomicon开始注意到,一些新测试案例将会启动Heartbeat程序内的漏洞。对此,卡加莱能声称:“我们拥有正确的工具,也处于正确的地方。”

在发现了一个测试案例的回复变得异常大之后,卡加莱能和希塔马基又尝试了另一种新测试方法。新测试将证实Hearbeat功能中的漏洞会秘密地泄露外部数据。

卡加莱能对此声称:“这种现象正是我们担心的。服务器突然将内存中的数据大量溢出,我们在进一步调查了回应信息之后,很快就发现这可能是一个非常非常严重的漏洞。”

第二天,Codenomicon公司的安全专家马科·拉克索(Marko Laakso)发现,正被用于支持公司测试程序组件的OpenSSL也在泄露服务器上的密钥。卡加莱能对此称:“密钥就是安全互联网的王冠,是用来证明你的真实身份,从这个意义上讲,Heartbleed可能就是互联网史上最严重的漏洞。”

Heartbleed漏洞诞生:

在发现了Heartbleed漏洞之后,Codenomicon公司并着手开始给服务器打补丁,并运用了各种方法来将此漏洞通告给其他人。Codenomicon在此过程中一直将此问题称为“Heartbleed”,因此该公司已经购买了heartbleed.com域名,创建了相应的从视觉上代表此漏洞的图标,并开始撰写与此漏洞问题相关的详细报告。

从几大方面来看,Heartbleed漏洞极其危险,例如会影响被广泛应用于多数互联网的OpenSSL安全软件,这就意味着此漏洞可能会以各种不同的方式影响每一位互联网用户。Heartbleed很难检测出来,因为此漏洞可以让入侵的黑客在数据传输过程的极早期阶段发动攻击,从而盗取相关的数据。Codenomicon公司联合创始人兼首席研究官阿瑞·塔卡能(Ari Takanen)将此漏洞比作是“甚至在你锁门之前小 偷 就开始在大楼内 偷 盗”一样。

一些更大型的网页服务公司,例如Twitter和谷歌等,已经宣称采用了必要的补丁,以解决这一问题。不过,仍然有几种类型的设备,包括有线电视机顶盒和交通信号灯等在内,可能还没有安装补丁,因为这些设备本身就不经常更新。

卡加莱能称:“自从此漏洞被发现之后,除了思考该漏洞及其后果之外,我就一直无法考虑其它事情。哪怕是让我短暂地考虑一下其它事情,那也非常不错了。”

卫健局回应网曝12岁女孩感染HPV
网友:与12岁女孩发生性关系,不管是不是自愿,都是犯法的。
医院拒绝回应免费为多名老人做手术
网友:为了利益,没有底线,就算骗保,也不能随意处理老人们的身体吧。
女歌手3次按摩后瘫痪 1个月后身亡
网友:这是啥按摩啊,化骨绵掌吧。
海口一32岁男飞行员海文大桥失联
网友:开车放桥上的,车内没人都是跳水里了...
母女二人拒不让座被乘警带走
网友:都是受过教育的当代人,怎么还能出现这么不文明的行为,讲真,我理解不了。
女子与男友亲密时刻被台球厅直播
网友:实话实说,这种直播肯定是不应该的,但在相对公共地区的台球厅亲密,也不太好吧。
  感谢各大网址导航推荐本站: