クライアント、サーバの両方が OpenSSL を使っていて、かつ脆弱なバージョンのときだけ攻撃できる。 メジャーなブラウザは OpenSSL を使っていないらしい(参考:ssl - which browser is using openssl - Stack Overflow)。 よって、ブラウザからの閲覧についての影響は小さい。
例えば、ウェブサイトが何らかの Web API を使っていて、ウェブサイトのサーバと API が脆弱な OpenSSL を使っている場合は対象となる。
ウェブブラウザ (OpenSSLを使っていない)
↑
[ここは対象外]
↓
ウェブサイト (脆弱な OpenSSL を使用)
↑
[ここが対象]
↓
何らかの Web API (脆弱な OpenSSL を使用)
ウェブブラウザが脆弱な OpenSSL を使っていたとしたら、もちろんブラウザとサイト間の通信も対象となる。
Android の HTTP クライアントは、WebView 以外は基本的に脆弱な OpenSSL らしい(要出典)。
クライアントは対策済み、もしくは OpenSSL ではなく、サーバが脆弱な OpenSSL を使っている状況について、OpenSSL や JVN と、レピダムで言っていることが異なるので、疑問が生じる所。
OpenSSL Security Advisory [05 Jun 2014]
The attack can only be performed between a vulnerable client and server.
JVN#61247051: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
サーバとクライアント間の SSL/TLS 通信が、中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。
OpenSSL #ccsinjection Vulnerability
サーバだけがバグの存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあります。
影響範囲が小さいとはいえ、起こるべき状況では起こるので、脆弱な OpenSSL を使ってる場合はアップデートしましょう!
OpenSSL 使ってるのは Android 限定とのこと。