Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない

諜報機関の関与も疑われているOpenSSLの「Heartbleed」バグだが、原因を作った開発者は意図的なバグの挿入を否定し、開発時のミスだと説明している(Deutsche Telekomの記事、The Sydney Morning Heraldの記事、PC Proの記事、The Globe and Mailの記事、本家/.)。

この開発者は当時ドイツ・ミュンスター大学の大学院生で、現在はDeutsche Telekomに勤務している。大学ではOpenSSLを使用した研究を行っており、研究の一環としてバグフィックスや新機能などでOpenSSLプロジェクトに貢献していた。しかし、彼がコードを書いたTLS/DTLSのHeartbeat拡張では、特定の変数に格納されたデータが正しいかどうかをチェックしていなかったという。そのため、不正な値を入力することで、メモリー上のデータを意図した長さ以上に読み取ることが可能になっていた。このミスは不運にもコードレビューで発見されることはなく開発バージョンに追加され、その後公式にリリースされてしまったとのことだ。　スラッシュドットのコメントを読む | ITセクション | セキュリティ | プログラミング | バグ | デベロッパー

　関連ストーリー：
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
不正なSSL証明書のチェックをしないモバイルアプリにご注意を 2014年02月14日
Linuxに対し米当局がバックドアを仕掛けたとされるIvyBridgeの乱数生成命令を使うなという要望、Linusキレる 2013年09月11日
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 2013年07月27日