Hlavní navigace

Tenhle pudl kouše. Po Heartbleedu je tu další díra v SSL – Poodle

15. 10. 2014
Doba čtení: 1 minuta

Sdílet

Google upozornil na další bezpečnostní díru v šifrovacím protokolu SSL, která útočníkům umožňuje získat informaci z cookies uživatelů.

Trojice výzkumníků společnosti Google včera odhalila bug Poodle „Padding Oracle On Downgraded Legacy Encryption“ a tento pudl opět vyděsil správce webů po celém světě.

Zabezpečení SSL 3 je již 15 let staré, a jeho dopad proto není tolik drtivý jako v případě hrozeb Heartbleed nebo Shellshock, nicméně velké množství webů toto zabezpečení stále využívá nebo alespoň dovoluje jeho využití v případě, že není možné využít novější verze.

Protokol SSL chrání komunikaci mezi uživatelem a internetovou stránkou, většina uživatelů jej zná v podobě zeleného indikátoru v příkazovém řádku prohlížeče, který signalizuje, že se nachází v bezpečné zóně HTTPS.

Útočníci mají tedy dvě možnosti, jak zranitelnosti SSL 3 využít. Buď se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3. Druhým způsobem je provedení klasického “man in the middle” útoku, například pomocí falešné WiFi sítě v nákupním centru nebo kavárně.

Pokud se uživatelé do bezdrátové sítě útočníka připojí, může pak za využití Poodle chyby získat obsah uživatelovy cookie, ze které může získat například jména a hesla k emailovým účtům, účtům na sociálních sítích nebo přístupové údaje do internetového bankovnictví.

BRAND24

Google vyzval správce sítí, aby podporu staré verze zabezpečení SSL 3 ze svých webů odstranili a nadále nevyužívali. Na rozdíl od zmíněného bugu Heartbleed, který ohrozil dvě třetiny světových webů, z nichž k nápravě řada přistoupila až po měsících po jeho zveřejnění, zabezpečení proti Poodle by mělo být rychlejší.

Google již aktualizací svého prohlížeče Chrome ukončil podporu zabezpečení SSL 3 a předpokládá se, že ho budou v podobě automatické aktualizace následovat i konkurenční prohlížeče Firefox (Mozilla), Internet Explorer (Microsoft) a Safari (Apple).

Byl pro vás článek přínosný?

Autor článku

Autor je nezávislý publicista se slabostí pro digitální světy. Najdete ho na Twitteru.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).