Суть критической уязвимости в OpenSSL объяснили простым комиксом
Рэндалл Монро, автор сайта юмористических комиксов xkcd, посвятил новую работу критической уязвимости Heartbleed, обнаруженной в апреле в пакете шифрования OpenSSL. Этот пакет широко применялся в качестве средства защиты данных в почтовых сервисах, на сайтах и в онлайн-банкинге.
TJournal перевёл комикс Монро. Оригинал можно найти на сайте автора.
Уязвимость OpenSSL была вызвана ошибкой в функции heartbeat («пульс»). Она позволяет одному компьютеру узнавать, находится ли другой онлайн.
Однако из-за ошибки heartbeat не проверял длину поступившего запроса, поэтому злоумышленник мог составить запрос таким образом, чтобы заставить сервер выдавать случайный фрагмент содержимого оперативной памяти объёмом до 64 килобайт данных. В этом участке памяти могли находиться фрагменты писем, логины, пароли и другие конфиденциальные данные. Подробнее уязвимость и её последствия TJournal разбирал в статье «Сердечная уязвимость».
© TJournal
