O primeiro é um artigo no blog existential type crisis, aonde o autor destrinchou o que aconteceu e o que foi corrigido no código do arquivo ssl/d1_both.c, um dos dois lugares no OpenSSL em que foi feita a correção. Este arquivo contém a função que processa o heartbeat do SSL. Ele aponta exatamente em que lugar no código o desenvolvedor esqueceu de verificar o tamanho do payload para evitar que o tamanho da resposta fosse maior do que o payload (e, assim, iria invadir uma área adjacente de memória na hora de copiar o payload que o servidor recebeu para enviá-lo na resposta).
A segunda ótima explicação, fácil de entender, foi criada pelo pessoal do XKCD.
Simplesmente brilhante !!!
Nenhum comentário:
Postar um comentário