Szilveszterkor került a hibás kódrészlet a titkosításba

Vágólapra másolva!
Három éve szilveszterkor egy programozó elvétett egy sort, ezért kell a fél világnak jelszót cserélnie.
Vágólapra másolva!

Kiderítették, mikor került az OpenSSL kódjába a héten napvilágot látott, Heartbleed névre keresztelt biztonsági hiba. Az internetes oldalakkal való kommunikáció titkosítására széles körben (bár nem mindenhol) alkalmazott technológiát azért lehet kijátszani, mert 2011 szilveszterének napján egy Robin Seggelmann nevű német programozó nem ellenőrizte le kódjában azt a változót, amely az ideiglenesen tárolt adatok hosszát tartalmazta. Miután így az adatok feldolgozása feletti kontroll nem működik jól, ez a memóriatartalom szivárgását idézi elő. A kiszivárgott adatok között pedig bizalmas információk is lehetnek.

Az ausztrál Sydney Morning Herald című lapnak a fejlesztő elmondta, hogy szilveszterkor épp az OpenSSL új funkcióin és egyes funkciók hibáinak javításán dolgozott, és a munkája során ejtett, egyébként triviális hibát a funkciókat ellenőrző fejlesztők sem vették észre. Ennek eredményeként a hiba a végleges programkódba is bekerülhetett. Seggelmann egyébként a lapnak nyilatkozva visszautasította azokat a vádakat, amelyek szerint szándékosan helyezte volna el a hibát a programkódban. Szerinte egyszerűen szerencsétlen esetről van szó, amelyben egy apró hiba hatalmas problémát okoz.

Ugyanakkor a német programozó sem zárta ki annak lehetőségét, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) vagy mások már a Google és a finn Codenomicon cég szakértői előtt tudomást szereztek a hibáról, és kihasználták a meglétét – írja az ausztrál lap.