Зеггельман сообщил, что ошибка появилась в предварительных версиях кода в декабре 2011 года, когда он работал над улучшением OpenSSL и готовил к отправке на утверждение несколько исправлений для уже существовавших багов.
Работая над написанием кода для одной функции, Зеггельман забыл прописать проверку длины запроса. Эту ошибку не заметил не только он, но и человек, проверявший работу программиста. Таким образом она и попала в окончательный релиз OpenSSL, выпущенный в 2012 году, и оставалась незамеченной вплоть до начала апреля 2014 года.
Зеггельман отметил, что не имел злого умысла, а ошибка сама по себе была простой и банальной. К большому сожалению программиста, она была допущена в критически важном месте.
Напомним, о наличии серьезной уязвимости в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно в понедельник вечером, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года.
Обнаруженная уязвимость была связана с отсутствием необходимой проверки длины запроса одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.
Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. Известный специалист по безопасности Брюс Шнайер оценил степень ее угрозы в 11 баллов из 10.
Поскольку большинство компаний установили исправленные версии пакета OpenSSL, угроза для пользователей в основном миновала, однако специалисты настоятельно рекомендуют сменить установленные ранее пароли.