Μία ομάδα ερευνητών της Google ανακάλυψαν ένα σημαντικό κενό ασφαλείας στο SSL 3.0, που θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση ευαίσθητων δεδομένων.

Οι ερευνητές της Google Thai Duong, Krzysztof Kotowicz και Bodo Moller, ανακοίνωσαν την ανακάλυψη αυτού του επικίνδυνου bug που θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση ευαίσθητων δεδομένων, που υποτίθεται ότι πρέπει να είναι κρυπτογραφημένα μεταξύ του client και του server.

Η Google ονομάζει την ευπάθεια POΟDLE (Padding Oracle On Downgraded Legacy Encryption), η οποία δίνει την δυνατότητα στον επιτιθέμενο με χρήση της μεθόδου επίθεσης, man in the middle, να αποκρυπτογραφήσει τα HTTP cookies και να αποκτήσει πρόσβαση στα στοιχεία σύνδεσης που αποθηκεύονται σε αυτά.

Σύμφωνα με την Google η μόνη αντιμετώπιση, εφόσον δεν υπάρχει κάποια εύχρηστη λύση, είναι η παύση της υποστήριξης του SSL 3.0 και η ρύθμιση των servers/browsers να μην αποδέχονται συνδέσεις με αυτό, μέσω του μηχανισμού TLS_FALLBACK-SCSV, κάτι που έχει ήδη κάνει η Google στον Chrome και την δική της υποδομή από τον Φεβρουάριο.

Το ίδρυμα Mozilla σχεδιάζει να απενεργοποιήσει επίσης το SSL 3.0 στον Firefox, με τον επόμενο Firefox 34 που θα κυκλοφορήσει στις 25 Νοεμβρίου 25, η SSL 3.0 να είναι απενεργοποιημένη, ενώ ήδη διατίθεται και το σχετικό addon.

Πηγή: e-pcmag.gr