Informatyka

POODLE – krytyczny błąd SSLv3

Badacze z firmy Google udostępnili informację o ataku na protokół SSLv3 nazwanym POODLE – Padding Oracle On Downgraded Legacy Encryption.

Atak jest skierowany przeciwko szyfrom wykorzystującym tryb szyfrowania CBC (Cipher Block Chaining) i pozwala atakującemu na odszyfrowanie danych przekazywanych za pomocą połączenia SSLv3 poprzez przeprowadzenie ataku typu Man in the Middle (MITM). Większość zabezpieczonych połączeń używa protokołu TLS, który jest następcą protokołu SSL, lecz część przeglądarek internetowych i serwerów w przypadku, gdy występuje problem  z wynegocjowaniem sesji TLS, zaczyna korzystać z podatnego protokołu SSLv3, tym samym narażając użytkowników na atak.
Witryny, które wspierają SSLv3 i szyfry wykorzystujące tryb szyfrowania CBC są potencjalnym celem ataku aktywnego MITM (nawet w przypadku, gdy strona wspiera TLS). Witryny, które wspierają SSLv3 i nie wspierają TLS, są nie tylko podatne, ale także przyczyniają się do zachowania wsparcia przez producentów przeglądarek internetowych do obsugi protokołu SSL 3.0.
Użytkownicy dla własnego bezpieczeństwa powinni wyłączyć obsługę SSLv3 w używanych przeglądarkach internetowych.

  • Mozilla Firefox :: pasek adresu: “about:config” -> security.tls.version.min = “1”
  • Google Chrome :: uruchomienie przeglądarki z parametrem –ssl-version-min=tls1
  • Internet Explorer :: Panel Sterowania -> Opcje Internetowe -> Zaawansowane -> odznaczyć “Użyj SSL 3.0”.

Poniżej zaprezentowany został zbiór przydatnych odnośników, związanych z POODLE:

Polecane wpisy
Najczęstsze kody błędów aktywacji systemu Windows 10 i porady jak je naprawić

Czy używasz systemu operacyjnego Windows 10 lub laptopa, ale nie możesz korzystać ze wszystkich funkcji, ponieważ system operacyjny Windows jest Czytaj dalej