2014年4月的“心臟出血”(Heartbleed)漏洞被安天和多個安全廠商都驚呼為幾年內最嚴重的安全危機，其引發(fā)的“出血”效應不過六個月，破殼又被安全業(yè)內認定為更為嚴重的漏洞。這是一種過度緊張?還是恰如其實?而兩者是否存在一些微妙的關聯(lián)?

詳細報告請點擊：http://down.51cto.com/data/1887800

Heartbleed漏洞讓開源界和安全工作者認識到，開源系統(tǒng)所獲得的安全關注度是高度不均衡的，類似Linux內核等場景聚焦了過多的研究者，而在OPEN SSL這種廣泛使用的、異常關鍵、但卻又是外圍應用環(huán)節(jié)的軟件，反而一直被作為一種具有想象安全的既定事實來看待。沒有想到一個安全環(huán)節(jié)自身是不安全的，就像很早以前用戶不會認為反病毒軟件本身也可能有嚴重的安全故障一樣。但這樣的“燈下黑”式的盲點效應，絕不只是在“Heartbleed”身上存在。多個知名項目實際上資金短缺，人手匱乏的現(xiàn)狀得到了關注。而還有項目居然“來歷不明”，如密碼學家們驚詫地發(fā)現(xiàn)，在安全界擁有很多擁躉的開源加密軟件Truecrypt，甚至沒有人知道來自何方。因此Heartbleed帶動了開源界的問題曝光，帶動了全面的審查開源系統(tǒng)漏洞，減少盲點的活動熱潮。而Heartbleed也帶來了對脆弱點分布的更多思考，讓更多對內核的關注擴展到外圍和連接部，擴展到被認為不可能發(fā)生問題的場景。而類似Bash這樣的“古老”的代碼，也就自然重回代碼審計研究者的實現(xiàn)。如果要說“心臟出血”的爆發(fā)與“破殼”的被發(fā)現(xiàn)有什么關聯(lián)，或許這就是其中的關聯(lián)。

根據(jù)GitHub網站已公布的此漏洞信息，截至到目前“破殼”漏洞所影響的第三方軟件已有十余種之多，而且這些第三方軟件大多數(shù)為開源軟件，被不同類別的操作系統(tǒng)所支持;或者是一些應用十分廣泛的軟件，例如Oracle等;隨著時間的推移所影響的范圍還會不斷的被公布出新的第三方軟件。

詳細報告請點擊：http://down.51cto.com/data/1887800