国外安全公司的几位员工在正常工作时,伺服器突然将内存中的数据大量溢出,从而发现了一个史上最大互联网漏洞。
本周初,安全公司Codenomicon的工程师安蒂·卡加莱能(Antti Karjalainen)在正常的工作时,却偶然发现了互联网史上最大的安全漏洞——Heartbleed(心脏流血)漏洞。
卡加莱能也是Codenomicon安全公司揭示Heartbleed漏洞的三位功勋工程师之一。
Heartbleed漏洞影响了被广泛使用的开放源代码SSL安全套件OpenSSL的加密协议,就就是我们常见的“https”。
简言之,这个漏洞可以诱使伺服器(Server)将其内存中的数据溢出来,从而可能让骇客掌握这一漏洞,并进一步窃取诸如信用卡和密码等之类的敏感信息。
卡加莱能,以及其在Codenomicon公司中的同事瑞库·希塔马基(Riku Hietamaki)和马蒂·卡莫能(Matti Kamunen),还有谷歌安全人员尼尔·米赫塔(Neel Mehta,非Codenomicon工作人员),被认为是最先发现Heartbleed漏洞的几位人员。卡加莱能声称,他是在和希塔马基共同更新Codenomicon公司程序测试组件的功能时发现这个漏洞的。
 |
| 发现Heartbleed漏洞的工程师团队。左起:Ossi Salmi, Ville Alatalo,Tuomo Untinen,Antti Karjalainen及Ossi Herrala。 |
据卡加莱能披露,Codenomicon公司程序测试软件的新功能名为“Safeguard”,旨在识别各种新型的软件漏洞。
卡加莱能还称,他最初在对OpenSSL的Heartbeat功能增加支持程序时,发现了一些错误的地方。
Heartbeat功能是用来测试连接是否安全的功能,可以让一台伺服器向另一台伺服器发送任意数据,然后接收伺服器再将数据完全一样的复制品发回原先的发送伺服器,以此证明这种连接的安全性,
这意味着Heartbeat漏洞将泄露伺服器上的密钥:一个被称为安全互联网的王冠……(点击下一页)
相关文章
[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]
已有
