Брешь позволяет злоумышленнику, осуществившему атаку «человек посередине», получить полный доступ к зашифрованным данным.
Устаревшие web-технологии продолжают массово подвергаться уязвимостям. Инженеры отдела безопасности Google обнаружили, что SSL-шифрование можно обойти с помощью эксплуатации новой бреши , которую они назвали POODLE.
В блоге Google Online Security специалисты опубликовали детали уязвимости. Бодо Меллер (Bodo Möller), Кшиштоф Котович (Krzysztof Kotowicz) и Тай Дон (Thai Duong) заявили, что из-за существования бреши использование SSL 3.0 более не представляется возможным.
Уязвимость позволяет хакеру получить доступ к зашифрованной информации, осуществив атаку «человек посередине». Поскольку устаревшую технологию используют как на web-сайтах, так и в браузерах, инженеры советуют как можно скорее отключить SSL 3.0.
Несмотря на то, что SSL 3.0 уже давно не считается наиболее совершенной формой web-шифрования, Меллер объяснил, что браузеры и HTTPS-серверы до сих пор его используют. Это происходит в случае, если при использовании протокола TLS – более защищенной версии SSL – возникают определенные ошибки.
Когда браузер или сервер сталкивается с неисправностями при использовании TLS, происходит автоматический откат до SSL. Зная об этом, злоумышленники могут умышленно вызвать проблемы с соединением, из-за чего сайт станет использовать устаревшую версию протокола.
Поскольку полное отключение SSL 3.0 может вызвать проблемы совместимости, Меллер заявил, что администраторам также стоит добавить поддержку подпротокола TLS_FALLBACK_SCSV. Он не позволит хакерам перевести сайт или браузер не только в режим SSL 3.0, но и в устаревшие версии TLS 1.0 и 1.1.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале