不过mehta对于漏洞的一些夸张说法不太感冒在漏洞被公布后,彭博社的一篇报道提到:“美国国家安全局在他之前就知道’心脏流血’漏洞,并利用它达成过不可告人的目的”mehta表示不太确定这个说法,他个人认为这是不太可能的(原话为unlikely)
mehta还谈到了“破壳”漏洞(shellshock),他认为这是比“心脏出血”漏洞更为严重
“你会感觉在ssl协议层上,可能存在更多未发现的东西所以我很好奇它的安全现状,并顺便做了下研究然后…”
不过这确实是一个问题“心脏出血”漏洞已经存在了两年多时间,直到现在才被发现和修补,蝶骨脊脑膜瘤还是因为google对自身使用的基础服务的审查
“心脏出血”漏洞(heartbleed)已经过去6个月时间,这个一度被视为互联网上最严重的网络安全漏洞(现在被“破壳”取代),在目前仍不可小视这个漏洞由codenomicon、google两家公司分别发现作为最初漏洞发现者,codenomicon公司的三名成员很早就对外公布了他们的发现经过,不过google安全工程师一直没有透露过
source:smh
mehta表示,发现“心脏出血”漏洞最主要的原因,是由于他在ssl协议栈上的一些早先发现,包括今年2月份发现的gotofail漏洞、3月份发现的gnutls漏洞
这些漏洞之所以严重,是由于类似bash、openssl的凸面脑膜瘤开源软件被广泛应用于全球数亿设备之上例如zlib,一个在很多软件中使用的压缩库;libjpeg,一个被广泛应用的jpeg库文件
“这可能是到达了一个临界点”mehta说,“在斯诺登揭秘美国国家安全局的大规模窃听计划后,加密在过去一年被越来越重视今年早些时候我们就发现了一大堆问题,接下来由于大家的重视,在这方面会有更多的发现”
在最近一期risky.biz播客上,google安全工程师neel mehta首度揭秘了他们对“心脏出血”的发现过程
没想到反响会如此巨大,主流媒体大多都做了报道(wsj、reuters、ft等)mehta说:“这个结果让我有些惊讶”当时还有另一家安全公司也发现了这个漏洞,并上线了北京脑膜瘤专科医院一个专门播报漏洞状况的网站
“libjpeg库中的bug,将会有巨大的影响”mehta说道
这与neel mehta的工作职责有关他说:“我在做的是openssl审计工作,以及整个ssl通信层安全”这显然是一项长期工作,mehta没有表示他已经完成此项审计
ssl(secure sockets layer)是一个保障数据完整、安全的加密协议,它经常用在客户端与服务器之间,我们常使用的google搜索、支付宝、微信就是使用它来保障安全openssl是ssl协议的开源实现,它们类似于chrome与浏览器工作机制(w3c规范)之间的关系
本文转载请注明来源:http://
在斯诺登揭秘中,美国国家安全局曾经窃听过goo右枕叶海绵状血管瘤gle数据中心之间的加密数据,并成功破解
治白癜风方法北京那个医院治疗白癜风最好转载请注明:http://www.uzngq.com/zlzd/578.html
