La Vulnerabilidad Heartbleed registrada bajo el número CVE reservado en MITRE como CVE-2014-0160 fue descubierta por Neel Mehta del equipo de Google Security en el mes de marzo. También conocida como "el desangrado del corazón de OpenSSL", tal abrumadora descripción se debe a que permite al atacante leer 64 KB de memoria en un
servidor y esa memoria puede contener información muy importante sobre
los usuarios o servidores. Aunque se dice que este error está presente en OpenSSL
desde diciembre de 2011, hasta ahora no se había descubierto y puede engañar a cualquier sistema que utilice versiones de OpenSSL de hasta dos años de antigüedad, por lo que muchos expertos aseguran que es la mayor falla encontrada hasta el momento en Internet.
La información que se podría obtener sería la siguiente:
- Claves privadas
- Usuarios y contraseñas utilizadas en servicios vulnerables
- Información sensible utilizada por servicios vulnerables
- Direcciones de memoria y su contenido que podría permitir evadir mecanismos de mitigación ante exploits.
Las versiones de OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta, y por el momento han sacado una versión provisional, la 1.0.1g, para arreglar la vulnerabilidad, aunque los operadores de páginas web tendrán que también revocar los certificados de seguridad antiguos, ya que podrían estar comprometidos.
El equipo de Google Inc reparó este bug previamente por lo que los usuarios no necesitan cambiar sus contraseñas.
Puedes comprobar la vulnerabilidad de las páginas web segura (https), accediendo al siguiente enlace. Esta misma herramienta la puedes conseguir por medio de una extensión llamada Chromebleed y puede ser descargada sólo en Chrome y así comprobar si los sitios https están afectados por Heartbleed.