专栏首页FreeBuf走近科学:谷歌工程师NeelMehta是如何发现心脏滴血漏洞的

走近科学:谷歌工程师NeelMehta是如何发现心脏滴血漏洞的

Heartbleed计算机安全漏洞是由谷歌工程师NeelMehta发现的,一向不愿意接受媒体采访的他,今日首次向媒体说出了他是怎样发现这一严重漏洞的;以及为什么会去第一时间去查找这一漏洞,并且他预言将会有一些类似的漏洞继续上演。

继公开披露Heartbleed的大约半年后,在与澳大利亚IT安全博客博主Risky.biz的对话中,Neel Mehta说道他是在用“laborious”源代码复查开源软件——OpenSSL之后发现的这一漏洞。

源代码是一种计算机代码,它能使相关的软件运行;而开源代码则是一种软件,是由志愿者免费提供的,通常还可被重新分配和或进行修改。

他说他过去一直是用Secure Sockets Layer逐行的来编辑OpenSSL,但现在却存在漏洞,实在是令他很是担忧。

SSL是一个对网站和用户之间流量进行加密的加密协议。而他发现的这一漏洞可使得包括他在内的一些潜在的黑客可以获取网络用户的个人信息。

Mehta说他之所以去调查SSL协议最主要原因是因为在年初的时候他发现了一些其他的协议漏洞,所以他对SSL协议也产生了一些怀疑,例如,二月份发现的GoToFail安全漏洞和三月份发现的GnuTLS漏洞。

出乎他意料的是,他没有想到这一漏洞会对主流媒体造成了如此巨大的反响,但是,与此同时,另一安全公司也在同一时间发现了该安全漏洞。

他还说他相比较于其他人的巨大反应,他对Heartbleed造成了怎样的严重后果一点也不热心。Bloomberg对他是第一时间发现这以安全漏洞表示质疑,因为在他之前就有间谍已经发现了该漏洞并且进行了一些不可告人的行为。

Mehta说新的漏洞还在不断的上演,而且可能更为严重,例如Shellshock就比Heartbleed严重。Shellshock是由开源软件开发者Stephane Chazelas发现的。该漏洞在两年前就已经存在了,但为什么到现在才被发现他猜想可能是因为加密软件的原因。因为自从前美国国家安全局员工Edward Snowden揭露了相关的秘密文件之后,大家对文件的加密越来越重视了。

Shellshock和Heartbleed之所以那么严重是因为这些漏洞存在于Bash 和OpenSSL软件之中。他还怀疑过其他粘附性的软件,因为这些软件上可能有一些存在多年但又没被发现的漏洞。比如他提名的Zlib,是一个包含了很多软件的压缩库,就可能含有潜在的漏洞。(使用这一软件的用户要当心了)

本文分享自微信公众号 - FreeBuf(freebuf),作者:cindy

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-10-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 企业安全漏洞通告引擎

    ? 背景 ? 如今大多数企业都在用漏洞扫描+漏洞通告,存在如下两个问题: 1、漏扫存在“扫描周期长、扫描库更新不及时”等情况,同时扫描报告中有无数干扰项,导致...

    FB客服
  • 75%安卓设备受威胁,都是高通API代码惹的祸 ?

    近日,美国网络安全公司FireEye披露了一个严重的信息泄露漏洞,该漏洞是由移动芯片巨头高通公司引入到 Android系统中的。 ? 关于高通 高通 (Qual...

    FB客服
  • CVE-2019-11815:Linux内核竞争条件漏洞导致远程代码执行

    运行了Linux发行版的计算机设备,如果内核版本小于5.0.8的话,将有可能受到一个内核竞争条件漏洞的影响,并导致系统无法抵御远程网络攻击。

    FB客服
  • 小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!

    区块链大本营
  • HackerOne优秀白帽黑客采访系列:John Colston

    作为商业战略咨询公司Colston Co LLC的创始人,John Colston (@mayonaise)选择兼职做白帽黑客更多的是为了挑战自己。而在此前,J...

    FB客服
  • Discuz!X ≤3.4 任意文件删除漏洞复现

    Discuz!X社区软件,是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。

    渗透攻击红队
  • 《程序员修炼之道:从小工到专家》The Pragmatic Programmer: From Journeymen to Master

    一个会写诗的程序员
  • 【被虐了】详解一次shopee面试算法题:最小栈的最优解

    前阵子面试的时候,在 shopee 的一面中,问了我一道最小栈的问题,关于最小栈的问题,我以前是做过的,以为是送分题,最结果最优解没写出来,不过也脑补了一些优化...

    帅地
  • windows设置共享盘 顶

    运维小白
  • Allinea CEO专访:释放HPC的潜力

    高性能计算有助于实现令人振奋的大学研究项目。不过, 如果没有适宜的软件和人力方面的投入,那么没有效率的HPC就不会像大学所期待的那样带来研究与声望上的帮助,全球...

    GPUS Lady

扫码关注云+社区

领取腾讯云代金券