ハートブリードの脆弱性はクライアントに深刻な影響を及ぼしますか？

はい、クライアントは攻撃に対して脆弱です。

最初のセキュリティ通知は、悪意のあるサーバーcanがハートブリードの脆弱性を使用して影響を受けるクライアントを侵害することを示していました。以下のソース（すべての強調は私のものです）。

それ以来、 概念実証 攻撃によってこの位置が確認されました-TLS接続にOpenSSLを使用するアプリを実行しているクライアントが脆弱である可能性があるのは完全に確かです。

heartbleed.com ：

... [Heartbleed]が悪用されると、メモリの内容がリークされますサーバーからクライアントへおよびクライアントからサーバーへ。

buntuセキュリティ通知USN-2165-1 ：

攻撃者はこの問題を使用して、最大64kのメモリコンテンツを取得する可能性がありますクライアントまたはサーバーから

RFC652 ：

5。ユースケース
各エンドポイント HeartbeatRequestメッセージを送信します...

OpenSSL Security Advisory 07 Apr 2014 ：

TLSハートビート拡張の処理における境界チェックの欠落は、最大64kのメモリを接続されたクライアントまたはサーバーに明らかにするために使用できます。

クライアントアプリケーション 報告される脆弱になる （-- @ Lekensteyn へのクレジットは、特に明記されていない限り）：

• MariaDB 5.5.36
• wget 1.15（以前の接続と自身の状態のメモリをリークします）
• カール7.36.0
• git 1.9.1（テスト済みのクローン/プッシュ、リークはほとんどありません）
• nginx 1.4.7（プロキシモードでは、以前のリクエストのメモリリーク）
• リンク2.8（以前の訪問の内容を漏らす！）
• KIO（Dolphin、Konqueror）を使用するすべてのKDEアプリケーション。
• Eximメールサーバー
• OwnCloud ^{バージョン不明| ソース}

これらのプログラムの一部はOpenSSLを使用しないことに注意してください。たとえば、curlはMozilla NSSで構築でき、EximはGnuTLSで構築できます（Debianで行われているように）。

その他の一般的なクライアント：

• Windows（すべてのバージョン）：おそらく影響を受けません（ SChannel/SSPIを使用 ）。ただし、個々のアプリケーションのTLS実装に注意を払う必要があります。たとえば、Cygwinユーザーは OpenSSL パッケージを更新する必要があります。

• OSXおよびiOS（すべてのバージョン）：おそらく影響を受けません。 SANSは「 OS X Mavericksには利用可能なパッチがありません "、 butothers注 OSX 10.9にはOpenSSL 0.9.8yが同梱されており、影響を受けません。 Apple says ： "OS XのOpenSSLライブラリは非推奨になり、OpenSSLはiOSの一部として提供されたことはありません"

• Chrome（Androidを除くすべてのプラットフォーム）：おそらく影響を受けない（ NSSを使用 ）

• Android上のChrome：4.1.1が影響を受ける可能性があります（ OpenSSLを使用 ）。 ^ソース。 4.1.2は ハートビートが無効 でコンパイルされているため、影響を受けません。 ^ソース。
• Mozilla製品（Firefox、Thunderbird、SeaMonkey、Fennecなど）：おそらく影響を受けず、すべて使用 [〜＃〜] nss [〜＃〜]