Ένα νέο πρόβλημα ασφαλείας που εντόπισε η Google κάνει ευάλλωτη την μη κρυπτογραφημένη επικοινωνία σε μια ασφαλή σύνδεση server-browser όταν χρησιμοποιείται το παλαιότερο πρωτόκολλο SSL 3.0.
Το νέο κενό που η Google ονόμασε "POODLE," Padding Oracle On Downgraded Legacy Encryption, δίνει την δυνατότητα στον επιτιθέμενο με χρήση man in the middle, να αποκρυπτογραφήσει τα HTTP cookies και να αποκτήσει πρόσβαση στα στοιχεία σύνδεσης που αποθηκεύονται σε αυτά.
Αν και το SSL 3.0 είναι άνω των 15 ετών συνεχίζει να υποστηρίζεται από τους servers και browsers σαν fallback πρωτόκολλο στις περιπτώσεις που σύγχρονες κρυπτογραφήσεις σαν το TLS αποτύχουν να συνδεθούν ή ο επιτιθέμενος αναγκάσει την σύνδεση να γίνει με το ευάλλωτο SSL 3.0.
Σύμφωνα με την Google η μόνη αντιμετώπιση, αφού δεν υπάρχει κάποια εύχρηστη λύση, είναι το σταμάτημα της υποστήριξης του και η ρύθμιση των servers/browsers να μην αποδέχονται συνδέσεις με αυτό μέσω του μηχανισμού TLS_FALLBACK-SCSV, κάτι που έχει ήδη κάνει η Google στον Chrome και την δική της υποδομή από τον Φεβρουάριο.
Είναι άγνωστο αν και σε τι βαθμό έχει γίνει εκμετάλευση του "νέου" κενού ασφαλείας καθώς αυτό εντοπίστηκε από την Google στην δική της υποδομή.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Αποποίηση ευθυνών: Το ιστολόγιο δεν παρέχει συμβουλές, προτροπές και καθοδήγηση.
Εισέρχεστε & εξέρχεστε με δική σας ευθύνη :)