Heartbleed (CVE-2014-0160).

Divulgado em abril de 2014 e descoberto de forma independente por Neel Mehta, da Google, e pela empresa finlandesa Codenomicon, o Heartbleed (CVE-2014-0160) é a ausência de uma verificação de limites no OpenSSL 1.0.1 até 1.0.1f, na extensão heartbeat de TLS/DTLS (RFC 6520). Um pedido heartbeat transporta um payload mais um campo de comprimento; o código vulnerável confiava no comprimento fornecido pelo atacante sem o comparar com o payload real, pelo que o servidor copiava até 64 KB de memória heap adjacente para a resposta com memcpy. Cada pedido vazava uma fatia diferente — de forma silenciosa, sem autenticação e sem deixar qualquer registo no servidor da vítima.

A memória exposta continha frequentemente chaves privadas RSA, cookies de sessão, nomes de utilizador, palavras-passe e corpos de mensagens já decifrados. Os incidentes reais surgiram rapidamente: a Canada Revenue Agency perdeu cerca de 900 números de seguro social de contribuintes, e a violação na Community Health Systems expôs aproximadamente 4,5 milhões de registos de pacientes através de um appliance VPN Juniper vulnerável. Como o Perfect Forward Secrecy era raro em 2014, uma chave privada roubada permitia aos atacantes decifrar tráfego previamente capturado. A correção foi lançada no dia seguinte no OpenSSL 1.0.1g, que valida o comprimento. A remediação correta implicava também rodar todos os certificados e chaves e invalidar todas as sessões, uma vez que a exfiltração era indetectável.

flowchart TD
  A[Atacante] -->|"Heartbeat: payload de 1 byte, alega 64 KB"| B[OpenSSL 1.0.1-1.0.1f]
  B --> C{Comprimento verificado<br/>face ao payload?}
  C -->|"Não (vulnerável)"| D["memcpy lê 64 KB<br/>de memória heap adjacente"]
  D --> E[Resposta vaza chaves RSA,<br/>cookies de sessão, palavras-passe]
  E --> A
  C -->|"Sim (1.0.1g+)"| F[Resposta devolve apenas<br/>o payload real]