Heartbleed計算機安全漏洞是由谷歌工程師NeelMehta發(fā)現(xiàn)的，一向不愿意接受媒體采訪的他，今日首次向媒體說出了他是怎樣發(fā)現(xiàn)這一嚴重漏洞的;以及為什么會去第一時間去查找這一漏洞，并且他預(yù)言將有一些類似的東西會繼續(xù)上演。

[[122081]]

繼4月7日公開披露Heartbleed的大約半年后，與澳大利亞IT安全博客博主Risky.biz的對話中，Neel Mehta說道他是在運行“laborious”源代碼復(fù)查開源軟件——OpenSSL之后發(fā)現(xiàn)的這一漏洞。

源代碼是一種計算機代碼，它能使相關(guān)的軟件運行;而開源代碼是一種軟件，它是由志愿者免費提供的，通常還能被重新分配和修改。

“我過去一直是用Secure Sockets Layer一行一行的編輯OpenSSL，”Mehta說，另外，到目前為止他還沒有說出關(guān)于它的任何信息，因為這會讓他感覺到不安。

SSL是一個對網(wǎng)站和用戶之間流量進行加密的加密協(xié)議。他發(fā)現(xiàn)的這一漏洞使得他和其他的潛在黑客可以提取那些使用了OpenSSL服務(wù)器的網(wǎng)絡(luò)用戶的個人信息。

[[122082]]

Mehta說他去調(diào)查SSL協(xié)議的最主要原因是因為在年初的時候他發(fā)現(xiàn)了一些其他的協(xié)議漏洞，例如，二月份發(fā)現(xiàn)的GoToFail安全漏洞和三月份發(fā)現(xiàn)的GnuTLS漏洞。

出乎他意料的是，他沒有想到這一漏洞對主流媒體造成了如此巨大的反響，但是與此同時，一個安全公司也發(fā)現(xiàn)了這一安全漏洞。

他還說他相比較于其他人的夸張說法，他對Heartbleed造成了怎樣的嚴重后果一點也不熱心，并且Bloomberg對此發(fā)出質(zhì)疑，表示在他之前就有間諜已經(jīng)發(fā)現(xiàn)了這一漏洞并且進行了一些不可告人的行為。

Mehta說新的漏洞在不斷的上演，Shellshock比Heartbleed更為嚴重。該漏洞是由開源軟件開發(fā)者Stephane Chazelas發(fā)現(xiàn)的。但他很疑惑為什么Heartbleed會發(fā)現(xiàn)的那么晚，因為在發(fā)現(xiàn)之前它已經(jīng)存在兩年多了，也可能是因為加密軟件的原因吧。在過去的一年內(nèi)加密變得越來越重要，因為受前美國國家安全局員工Edward Snowden揭露了一些秘密文件的影響。

Shellshock和Heartbleed之所以那么嚴重是因為這些漏洞存在于Bash 和OpenSSL軟件之中。他還懷疑過其他的軟件——粘附性的軟件，這些軟件上可能有一些存在多年但又沒被發(fā)現(xiàn)的漏洞。他提名的Zlib，是一個包含了很多軟件的壓縮庫，libjpeg是一個使用C庫進行讀取和寫入JPEG圖像的文件，它也可能含有潛在的漏洞。