SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息(heartbeat)来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容,这些内容包含大量隐私信息,包括登录名甚至是密码等等。因此本次OpenSSL 漏洞被形象地描述为“心脏出血”(heart bleed)。
在上述消息震惊世界后,美国国家安全局在Twitter上立马语气坚定地(以往常常是用词暧昧)做出回应:“安全局在业界披露心’脏流血’之前,并不了解这一漏洞。”
对于政府的回应,分析人士普遍持怀疑态度。
首先,NSA每年在数据收集和监听上的花费多达16亿美元,是OpenSSL开源项目的几千倍之多。作为一个互联网文件传输广泛使用的协议标准,存在如此严重的漏洞,政府专业组织不可能如此后知后觉。
其次,《纽约时报》在上述消息报道不久后爆料称,奥巴马政府在今年1月通过了一条法案:国家安全局应该将其发现的网络漏洞等安全隐患公开告诉民众。但出于某些显而易见的需要抑或是保护国家安全的需要,政府可以对一些漏洞保持沉默,并加以合理使用。