Heartbleed é uma vulnerabilidade séria na popular biblioteca de software criptográfico OpenSSL que existe devido a um bug na implementação do protocolo Transport Layer Security (TLS). OpenSSL é usado para fornecer e verificar conexões seguras entre servidores web e clientes.
A falha de segurança foi descoberta por Neel Mehta do Google Security e uma equipe de pesquisadores de segurança da Codenomicon, e divulgada publicamente em 7 de abril de 2014. A vulnerabilidade pode potencialmente permitir que informações sensíveis, confidenciais ou financeiras sejam roubadas ou falsificadas se forem usadas. em um site vulnerável. A vulnerabilidade recebeu o nome de “heartbleed” devido ao fato de afetar a função “heartbeat” do OpenSSL, pela qual os clientes e, mais frequentemente, os servidores usam para manter uma conexão ativa sem tráfego infinito.
Heartbleed é um recurso OpenSSL que foi introduzido na versão 1.0.01 em março de 2012 e não foi exposto até abril de 2014. Depois que um servidor vulnerável é conectado, a solicitação Heartbeat pode ser enviada como parte do protocolo ou por um invasor. . A solicitação inclui uma carga arbitrária de dados de até 64 KB e é verificada com uma resposta se os dados foram recebidos do servidor. A falha Heartbleed permite que um invasor envie uma solicitação de pulsação com um tamanho de carga maior do que o especificado na solicitação. Ao fazer isso, a solicitação maliciosa não será verificada com uma resposta, mas em vez disso, o servidor irá estourar a memória alocada e enviar de volta até 64 KB de memória aleatória do servidor.
A vulnerabilidade tornou-se extremamente difundida devido à sua capacidade de explorar servidores web populares usando OpenSSL para fornecer conexões web criptografadas. Desde o anúncio, muitas grandes empresas, incluindo Google, Github, Kayak, Yahoo e Dropbox, divulgaram que foram afetadas pelo bug.
O bug Heartbleed agora foi corrigido em muitos sites e um usuário típico deve estar seguro e dar um passo extra para proteger suas contas online. Isso inclui a alteração de senhas usadas durante possíveis ataques e a ativação da autenticação de dois fatores, quando disponível. Os usuários também são incentivados a manter-se atualizados com as atualizações de segurança do site e verificar continuamente notícias relacionadas ao Heartbleed e outras vulnerabilidades.
