2014年4月的“心脏出血”(Heartbleed)漏洞被安天和多个安全厂商都惊呼为几年内最严重的安全危机,其引发的“出血”效应不过六个月,破壳又被安全业内认定为更为严重的漏洞。这是一种过度紧张?还是恰如其实?而两者是否存在一些微妙的关联?
详细报告请点击:http://down.51cto.com/data/1887800
Heartbleed漏洞让开源界和安全工作者认识到,开源系统所获得的安全关注度是高度不均衡的,类似Linux内核等场景聚焦了过多的研究者,而在OPEN SSL这种广泛使用的、异常关键、但却又是外围应用环节的软件,反而一直被作为一种具有想象安全的既定事实来看待。没有想到一个安全环节自身是不安全的,就像很早以前用户不会认为反病毒软件本身也可能有严重的安全故障一样。但这样的“灯下黑”式的盲点效应,绝不只是在“Heartbleed”身上存在。多个知名项目实际上资金短缺,人手匮乏的现状得到了关注。而还有项目居然“来历不明”,如密码学家们惊诧地发现,在安全界拥有很多拥趸的开源加密软件Truecrypt,甚至没有人知道来自何方。因此Heartbleed带动了开源界的问题曝光,带动了全面的审查开源系统漏洞,减少盲点的活动热潮。而Heartbleed也带来了对脆弱点分布的更多思考,让更多对内核的关注扩展到外围和连接部,扩展到被认为不可能发生问题的场景。而类似Bash这样的“古老”的代码,也就自然重回代码审计研究者的实现。如果要说“心脏出血”的爆发与“破壳”的被发现有什么关联,或许这就是其中的关联。
根据GitHub网站已公布的此漏洞信息,截至到目前“破壳”漏洞所影响的第三方软件已有十余种之多,而且这些第三方软件大多数为开源软件,被不同类别的操作系统所支持;或者是一些应用十分广泛的软件,例如Oracle等;随着时间的推移所影响的范围还会不断的被公布出新的第三方软件。