Heartbleed, popüler OpenSSL şifreleme yazılımı kitaplığında, Aktarım Katmanı Güvenliği (TLS) protokolünün uygulanmasındaki bir hata nedeniyle var olan ciddi bir güvenlik açığıdır. OpenSSL, web sunucuları ve istemciler arasındaki güvenli bağlantıları hem sağlamak hem de doğrulamak için kullanılır.
Güvenlik açığı, Google Security'den Neel Mehta ve Codedenomicon'dan güvenlik araştırmacılarından oluşan bir ekip tarafından keşfedildi ve 7 Nisan 2014'te kamuya açıklandı. Güvenlik açığı, kullanılması durumunda hassas, gizli veya finansal bilgilerin çalınmasına veya sahtekarlığa maruz kalmasına potansiyel olarak izin verebilir. savunmasız bir web sitesinde. Güvenlik açığına, OpenSSL'in, istemcilerin ve çoğunlukla sunucuların sonsuz trafik olmadan bir bağlantıyı canlı tutmak için kullandığı "kalp atışı" işlevini etkilemesi nedeniyle "kalp kanaması" adı verildi.
Heartbleed, Mart 2012'de 1.0.01 sürümünde tanıtılan bir OpenSSL özelliğidir ve Nisan 2014'e kadar açığa çıkmamıştır. Güvenlik açığı olan bir sunucuya bağlanıldığında, Heartbeat isteği protokolün bir parçası olarak veya bir saldırgan tarafından gönderilebilir. . İstek, boyutu 64kb'ye kadar olan isteğe bağlı bir veri yükü içerir ve verilerin sunucudan alınıp alınmadığı bir yanıtla kontrol edilir. Heartbleed kusuru, bir saldırganın, istekte belirtilenden daha büyük bir yük boyutuna sahip bir kalp atışı isteği göndermesine olanak tanır. Bunu yaparken, kötü niyetli istek bir yanıtla kontrol edilmeyecek, bunun yerine sunucu, tahsis edilen hafızayı aşacak ve 64 KB'a kadar rastgele sunucu hafızasını geri gönderecektir.
Güvenlik açığı, şifrelenmiş web bağlantıları sağlamak için OpenSSL kullanan popüler web sunucularından yararlanma yeteneği nedeniyle son derece yaygın hale geldi. Duyurudan bu yana aralarında Google, Github, Kayak, Yahoo ve Dropbox'ın da bulunduğu birçok büyük şirket, hatadan etkilendiklerini açıkladı.
Heartbleed hatası artık pek çok web sitesinde yamalı durumda ve tipik bir kullanıcının güvende olması ve çevrimiçi hesaplarının güvenliğini sağlamak için fazladan bir adım atması gerekiyor. Buna olası saldırı zamanlarında kullanılan parolaların değiştirilmesi ve mümkün olduğunda iki faktörlü kimlik doğrulamanın etkinleştirilmesi de dahildir. Kullanıcıların ayrıca web sitesi güvenlik güncellemeleri konusunda güncel kalmaları ve Heartbleed ve diğer güvenlik açıklarıyla ilgili haberleri sürekli olarak kontrol etmeleri teşvik edilmektedir.
