2014年4月的“心臟出血”(Heartbleed)漏洞被安天和多個(gè)安全廠商都驚呼為幾年內(nèi)最嚴(yán)重的安全危機(jī)，其引發(fā)的“出血”效應(yīng)不過(guò)六個(gè)月，破殼又被安全業(yè)內(nèi)認(rèn)定為更為嚴(yán)重的漏洞。這是一種過(guò)度緊張?還是恰如其實(shí)?而兩者是否存在一些微妙的關(guān)聯(lián)?

詳細(xì)報(bào)告請(qǐng)點(diǎn)擊：http://down.51cto.com/data/1887800

Heartbleed漏洞讓開(kāi)源界和安全工作者認(rèn)識(shí)到，開(kāi)源系統(tǒng)所獲得的安全關(guān)注度是高度不均衡的，類(lèi)似Linux內(nèi)核等場(chǎng)景聚焦了過(guò)多的研究者，而在OPEN SSL這種廣泛使用的、異常關(guān)鍵、但卻又是外圍應(yīng)用環(huán)節(jié)的軟件，反而一直被作為一種具有想象安全的既定事實(shí)來(lái)看待。沒(méi)有想到一個(gè)安全環(huán)節(jié)自身是不安全的，就像很早以前用戶(hù)不會(huì)認(rèn)為反病毒軟件本身也可能有嚴(yán)重的安全故障一樣。但這樣的“燈下黑”式的盲點(diǎn)效應(yīng)，絕不只是在“Heartbleed”身上存在。多個(gè)知名項(xiàng)目實(shí)際上資金短缺，人手匱乏的現(xiàn)狀得到了關(guān)注。而還有項(xiàng)目居然“來(lái)歷不明”，如密碼學(xué)家們驚詫地發(fā)現(xiàn)，在安全界擁有很多擁躉的開(kāi)源加密軟件Truecrypt，甚至沒(méi)有人知道來(lái)自何方。因此Heartbleed帶動(dòng)了開(kāi)源界的問(wèn)題曝光，帶動(dòng)了全面的審查開(kāi)源系統(tǒng)漏洞，減少盲點(diǎn)的活動(dòng)熱潮。而Heartbleed也帶來(lái)了對(duì)脆弱點(diǎn)分布的更多思考，讓更多對(duì)內(nèi)核的關(guān)注擴(kuò)展到外圍和連接部，擴(kuò)展到被認(rèn)為不可能發(fā)生問(wèn)題的場(chǎng)景。而類(lèi)似Bash這樣的“古老”的代碼，也就自然重回代碼審計(jì)研究者的實(shí)現(xiàn)。如果要說(shuō)“心臟出血”的爆發(fā)與“破殼”的被發(fā)現(xiàn)有什么關(guān)聯(lián)，或許這就是其中的關(guān)聯(lián)。

根據(jù)GitHub網(wǎng)站已公布的此漏洞信息，截至到目前“破殼”漏洞所影響的第三方軟件已有十余種之多，而且這些第三方軟件大多數(shù)為開(kāi)源軟件，被不同類(lèi)別的操作系統(tǒng)所支持;或者是一些應(yīng)用十分廣泛的軟件，例如Oracle等;隨著時(shí)間的推移所影響的范圍還會(huì)不斷的被公布出新的第三方軟件。

詳細(xì)報(bào)告請(qǐng)點(diǎn)擊：http://down.51cto.com/data/1887800