Новой угроза связанная с обнаружением критической уязвимости Poodle

Уязвимость Poodle дает возможность хакерам, перехватывая трафик, расшифровывать запросы пользователей и получать доступ к конфиденциальной информации, например, к паролям, данным запроса, файлам Cookies, в которых содержатся личные данные клиентов, и пр.

Критическая уязвимость (CVE-2014-3566) была обнаружена не в отдельной реализации SSL 3.0, а в самой спецификации протокола. Уязвимыми являются все реализации SSL 3.0, от свободной OpenSSL до коммерческих библиотек, поставляемых по умолчанию с распространёнными операционными системами.

Даже в случае, если сервер использует протокол TLS наряду с SSL 3.0, он всё равно остаётся уязвимым, поскольку атакующий может определённым образом спровоцировать принудительное применение SSL 3.0.

Опасность для пользователей состоит в раскрытии конфиденциальных данных, поскольку злоумышленник может получить доступ к их аккаунтам на сервере, поддерживающем протокол шифрования SSL 3.0. Авторизация в протоколе HTTP основана на передаче секретных токенов от пользователя к серверу. Злоумышленник, контролирующий промежуточный трафик (например, точку доступа WiFi), используя уязвимость Poodle, может частично расшифровывать SSL3-трафик, получая доступ к авторизационным данным.

«В очередной раз мы видим, что ошибки бывают не только в реализациях протоколов шифрования, но и в их спецификациях, даже написанных лучшими в мире специалистами. К этому всегда нужно быть готовым и своевременно реагировать на возникающие угрозы. Мы опробовали отключение SSLv3 и не зарегистрировали проблем с доступностью у легитимных пользователей. С завтрашнего дня мы прекращаем поддержку SSLv3 по умолчанию, оставляя только современные безопасные протоколы TLS», — комментирует Александр Лямин, руководитель Qrator Labs.

Более совершенный стандарт TLS не подвержен этой уязвимости, поэтому системным администраторам и конечным пользователям рекомендуется отключить поддержку SSL 3.0, поскольку, не сделав этого, невозможно сохранить приватность данных. Все современные операционные системы также поддерживают TLS, поэтому отключение SSL 3.0 не повлечёт за собой существенных проблем в работе.

Источник: iksmedia.ru

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы