Si comprendo correctamente la vulnerabilidad, solo un atacante puede recuperar el montón del proceso de OpenSSL (o parte de esto, según el tipo de asignación de memoria que se use). Entonces, ¿cómo es que el proceso OpenSSL guarda en la memoria lo que ha cifrado / descifrado previamente?
Parece obvio que, dada la sensibilidad del proceso OpenSSL, no debe haber ningún dato guardado en la memoria por más tiempo que lo estrictamente necesario, algo así como un principio de "necesidad de saber" para garantizar que el impacto se mantenga a un nivel razonable. nivel si el proceso está comprometido.
Comprendo que estos datos confidenciales se deben poner en la memoria para que se comuniquen a la capa / servicio anterior (por ejemplo, el servidor http en la mayoría de los casos), pero una vez que se hayan transmitido, se deben eliminar de inmediato, ¿no?