Heartbleed の現状 by シマンテック

“Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch Watch

なるほど、シマンテックの解説、わかりやすいです^^)


HeatBeat = 心拍・鼓動、つまり Keep Alive 機能のバグなので、HeatBleed = 心臓出血? なんだそうです。
それはともかく、
直接のバグは、データサイズのチェックが抜けていた点。データが盗み取られる手口は、バッファオーバーラン的ですね。


現状では、メジャーサイトは対応済みなので、今後攻撃されるとしたら対処できていないマイナーサイトであろうとのこと。


さらに詳しいメカニズムについては、こちらも。

DeNA Engineers' Blog [ Technology of DeNA ]