Se comprendo correttamente la vulnerabilità udibile, solo un heap del processo OpenSSL può essere recuperato da un utente malintenzionato (o parte di esso a seconda del tipo di allocazione di memoria che viene utilizzato). Quindi, in che modo il processo OpenSSL mantiene in memoria ciò che ha crittografato / decodificato in precedenza?
Sembra ovvio che data la delicatezza del processo OpenSSL, non ci dovrebbero essere più dati conservati in memoria più a lungo di ciò che è strettamente necessario, qualcosa come un "bisogno di sapere" principio per assicurare che l'impatto sia mantenuto a un livello ragionevole livello se il processo è compromesso.
Capisco che questi dati sensibili debbano essere messi in memoria per essere comunicati al livello / servizio di cui sopra (ad esempio server http nella maggior parte dei casi), ma una volta che è stato trasmesso dovrebbe essere immediatamente rimosso, giusto?