Ataque POODLE expõe dados criptografados por SSL 3.0

Três engenheiros de segurança do Google, Bodo Möller, Krzysztof Kotowicz e Thai Duong, descobriram uma vulnerabilidade no Secure Sockets Layer (SSL) 3.0 que faz com que o protocolo, que já possui 15 anos de existência, se torne praticamente impossível de ser utilizado com segurança, além de ser dificilmente corrigida.

A vulnerabilidade permite que informações criptografadas sejam expostas por um invasor com acesso à rede. Nomeada Poodle, a sigla para Padding Oracle On Downgraded Legacy Encryption, a vulnerabilidade é descrita tecnicamente no relatório elaborado pelos especialistas, apresentando um sério problema, uma vez que o protocolo é utilizado por sites e navegadores web, e permanecerá como um problema enquanto o mesmo for suportado.

A Apple anunciou em seu site de desenvolvedores que vai mudar em 29 de outubro do SSL 3.0 para o Transport Layer Security (TLS), protocolo mais moderno e menos vulnerável que o SSL. O Twitter já notificou os seus usuários que desabilitou o suporte ao SSL 3.0, enquanto o Mozilla aconselhou os usuários do Firefox instalarem o add-on de segurança que desativa o SSL 3.0, tendo afirmado que planeja desativar de vez o suporte ao protocolo na próxima versão do navegador, o Firefox 34.

A boa notícia é que poucos sites utilizam o SSL 3.0. Um estudo realizado pela Universidade de Michigan mostra que menos de 0,3 por cento da comunicação entre o site e o servidor depende de SSL 3.0, enquanto que 0,42 por cento dos top 1.000.000 domínios listados pela Alexa usavam o protocolo.

Maiores informações através do link.