rss信息聚合

史上最大互联网漏洞如何被发现?

2014-04-15 09:08:19 作者:张嘉乐 来源:TechDaily 浏览次数:0 网友评论 0 | Share to

【TechDaily电子报2014年4月14日综合报道】一个网民熟悉的“Https”网址OpenSSL加密协议惊现了让全球网站“心脏出血“的大漏洞,震撼了网络世界,但你可知道它是如何被发现?

国外安全公司的几位员工在正常工作时,伺服器突然将内存中的数据大量溢出,从而发现了一个史上最大互联网漏洞。

本周初,安全公司Codenomicon的工程师安蒂·卡加莱能(Antti Karjalainen)在正常的工作时,却偶然发现了互联网史上最大的安全漏洞——Heartbleed(心脏流血)漏洞。

卡加莱能也是Codenomicon安全公司揭示Heartbleed漏洞的三位功勋工程师之一。

Heartbleed漏洞影响了被广泛使用的开放源代码SSL安全套件OpenSSL的加密协议,就就是我们常见的“https”。

简言之,这个漏洞可以诱使伺服器(Server)将其内存中的数据溢出来,从而可能让骇客掌握这一漏洞,并进一步窃取诸如信用卡和密码等之类的敏感信息。

卡加莱能,以及其在Codenomicon公司中的同事瑞库·希塔马基(Riku Hietamaki)和马蒂·卡莫能(Matti Kamunen),还有谷歌安全人员尼尔·米赫塔(Neel Mehta,非Codenomicon工作人员),被认为是最先发现Heartbleed漏洞的几位人员。卡加莱能声称,他是在和希塔马基共同更新Codenomicon公司程序测试组件的功能时发现这个漏洞的。

发现Heartbleed漏洞的工程师团队。左起:Ossi Salmi, Ville Alatalo,Tuomo Untinen,Antti Karjalainen及Ossi Herrala。

据卡加莱能披露,Codenomicon公司程序测试软件的新功能名为“Safeguard”,旨在识别各种新型的软件漏洞。

卡加莱能还称,他最初在对OpenSSL的Heartbeat功能增加支持程序时,发现了一些错误的地方。

Heartbeat功能是用来测试连接是否安全的功能,可以让一台伺服器向另一台伺服器发送任意数据,然后接收伺服器再将数据完全一样的复制品发回原先的发送伺服器,以此证明这种连接的安全性,

这意味着Heartbeat漏洞将泄露伺服器上的密钥:一个被称为安全互联网的王冠……(点击下一页)

[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章