Бесплатно Экспресс-аудит сайта:

18.04.2014

Эксперт: Причиной Heartbleed стал устаревший метод управления памятью

С момента обнаружения уязвимости Heartbleed исследователи пытаются определить, что именно послужило причиной бреши в OpenSSL, благодаря которой стала возможной утечка информации и цифровых ключей. По одной из версий, Heartbleed возникла в функции управления памятью в OpenSSL.

Лидер проекта OpenBSD Тео де Раадт (Theo de Raadt) считает, что появления уязвимости и ее пагубного влияния на интернет можно было избежать, если бы в программном обеспечении OpenSSL использовались более современные техники управления памятью. По его словам, метод управления памятью, используемый в OpenSSL для повышения производительности, хранит содержимое памяти «почти вечно», что еще больше обостряет проблемы, подобные Heartbleed.

«Heartbleed не работала бы вообще, если бы распределитель [памяти] в полной мере подчищал память, как это делают другие программы», - отметил Раадт. Патч, выпущенный для OpenSSL, исправляет лишь программную ошибку, ставшую причиной уязвимости, однако в криптографическом пакете может существовать множество других, еще не обнаруженных уязвимостей.

Бен Лори (Ben Laurie) из OpenSSL заявил, что намерен деактивировать функцию памяти, о которой говорил Раадт, однако добавил, что доказательств того, что именно она послужила причиной Heartbleed, не обнаружено.