امروز (۱۹ فروردین ۱۳۹۳ و ۸ آوریل ۲۰۱۴) یک آسیب پذیری بسیار مهم در OpenSSL کشف و راه حل اجتناب از آن نیز ارائه شده است.

این مشکل که به خونریزی قلبی شهرت یافته است، تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.

از آنجا که متاسفانه با گذشت چندین ساعت از اعلام عمومی این خطر بی سابقه در جهان، متاسفانه هنوز در ایران اطلاع رسانی لازم صورت نگرفته است و بسیاری از سایت‌ها و کاربران ایرانی در معرض تهدید و خطر جدی هستند، شرکت بیان اطلاعات مربوط به این آسیب‌پذیری را برای اطلاع و رفع سریع‌تر آن منتشر می‌نماید. متاسفانه تا لحظه‌ی انتشار این خبر مراکز دولتی و دانشگاهی کشور که خود وظیفه رصد و پیش‌گیری از وقوع این مشکل را دارند، این آسیب پذیری در آن‌ها مشاهده شده است.


این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های برخط ایمیل، و چت از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن VPN و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است.

بر اساس گزارش NetCraft در سال ۲۰۱۴ بیش از ۶۶٪ سایت‌ها از سرورهایی استفاده می‌کنند که بالقوه این آسیب پذیری را دارند. گستره و اهمیت این آسیب پذیری به حدی است یک سایت مستقل (heartbleed.com) برای توضیح جوانب مختلف آن ایجاد شده است.