В понедельник вечером разработчики популярного криптографического пакета OpenSSL, предназначенного для защиты и сертификации данных, сообщили об устранении серьезной ошибки, возникшей в последних релизах пакета.
Обнаруженная уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации "защищены" уязвимой версией OpenSSL, пишет один из пользователей сайта "Хабрахабр". В том числе злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде.
Первая версия пакета OpenSSL, содержащая в себе эту критическую ошибку, была выпущена в марте 2012 года. Таким образом, не исключено, что некие злоумышленники могли иметь доступ к зашифрованному трафику в интернете в течение двух лет, не оставляя при этом никаких следов несанкционированного проникновения, отмечается в статье, опубликованной в газете The Washington Post, обзор которой приводит портал InoPressa.
Ошибку нашли специалисты по информационной безопасности из компании Codenomicon, а также один из сотрудников подразделения Google Security. Именно он сообщил разработчикам OpenSSL о необходимости срочно исправить код.
Из-за созвучия названия расширения Heartbeat, обнаруженную ошибку окрестили HeartBleed (кровоточащее сердце) и даже открыли одноименный сайт, содержащий подробное описание уязвимости.
По оценке издания ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.