Як було виявлено помилку? Уразливість була виявлена незалежно дослідниками Codenomicon і Google Security. Дослідники Codenomicon виявили помилку під час вдосконалення функції SafeGuard в інструментах тестування безпеки Defensics від Codenomicon.
Насправді Heartbleed був відкритий двома різними групами, які працювали незалежно один від одного дуже різними способами: один раз під час перегляду відкритої кодової бази OpenSSL і один раз під час серії імітованих атак на сервери, на яких працює OpenSSL.
Це сталося в результаті неправильна перевірка введення (через відсутність перевірки меж) у реалізації розширення серцевого ритму TLS. Таким чином, назва жука походить від серцебиття. Уразливість була класифікована як перечитування буфера, ситуація, коли можна прочитати більше даних, ніж дозволено.
Бодо Моллер і Адам Ленглі з Google створили виправлення для Heartbleed. Вони написали код, який наказав розширенню Heartbeat ігнорувати будь-яке повідомлення Heartbeat Request, яке вимагає більше даних, ніж потрібно корисному навантаженню.
Остання, так звана помилка Heartbleed у криптографічній бібліотеці OpenSSL, є особливо поганою. Уразливість Heartbleed OpenSSL нульового дня. Хоча Heartbleed впливає лише на OpenSSL 1.0.
Крім того, це також може вплинути на мережеві пристрої та клієнтське програмне забезпечення на ваших пристроях, потенційно наражаючи ваші дані на зловмисників. Незважаючи на всі спроби виправити вразливість, Heartbleed залишається проблемою у 2024 році.