业界发现心脏出血漏洞已经过去小半年，但是漏洞的修补工作进度却不容乐观，虽然主流电商网站和设备厂商纷纷宣布修补了漏洞，但实际上，只有14%的网站正确修补了心脏出血漏洞（发现心脏出血漏洞8周后的数据）。

根据安全牛之前的报道，心脏出血漏洞对企业内网和数据安全的威胁才刚刚显露，造成的损失比web服务更大，而修复更加困难和漫长。

这绝非危言耸听，近日让全球医疗业和安全界震惊的大规模数据泄露事件——美国大型医疗机构“社区卫生系统”（CHS）遭入侵丢失450万病例数据，负责事件调查的安全公司Mandiant指出，黑客APT攻击利用的正是心脏出血漏洞，从CHS的一台Juniper网关设备的内存中收集用户证书，并利用这些证书通过VPN登录系统。

更加糟糕的是，医疗业的心脏出血漏洞只是行业应用安全隐患的冰山一角，近日软件测试公司CAST的一份调查显示，70%的金融和零售应用都容易遭受输入验证漏洞攻击。

该研究调查了超过200家大企业的1300个应用，代码量超过7亿行。而输入验证缺陷的主要原因是代码质量差，攻击者可以在用户信息输入区域放置并执行恶意代码。

CAST指出该漏洞的危害性堪比心脏出血，CAST在调查结果中指出：

• 政府IT系统有61%的应用不存在输入验证漏洞，在各行业中表现最好。
• 独立软件供应商的软件产品只有12%没有输入验证。
• 金融服务业每个应用存在224个输入验证漏洞。

CAST首席科学家指出，该调查结果表明应用安全与软件质量同等重要，豆腐渣软件工程不但会导致系统崩溃、数据丢失，恢复困难，而且还会产生不计其数的安全漏洞。

据悉，CAST的调查结果将在9月份的CRASH报告中发布。