15 октября 2014

Сотрудники компании Google обнаружили в криптографическом протоколе SSL 3.0 критическую уязвимость. Воспользовавшись ею, злумышленники могут перехватывать конфиденциальную информацию, в том числе cookie-файлы, электронную переписку, информацию о счетах в онлайн-банках и пр.

Ошибка, прозванная Poodle ("Пудель"), содержится в устаревшем стандарте SSL (Secure Sockets Layer), который обеспечивает зашифрованное соединение между клиентом и сервером. Несмотря на то что версия SSL 3.0 вышла еще в 1996 году, а на смену ей давно пришел протокол TLS (Transport Layer Security), "тройка" до сих пор используется во многих современных браузерах (Chrome, Firefox) и веб-серверах в целях обратной совместимости. По некоторым оценкам, через SSL 3.0 проходит около 1% всего  интернет-трафика.

Потенциальными жертвами атаки являются пользователи старых браузеров. Тем не менее, Poodle не так страшна, как Heartbleed — "дыра" в криптографическом пакете OpenSSL, которая поставила под угрозу безопасность сотен тысяч серверов по всему миру. В случае с Poodle хакеру требуется иметь доступ к интернет-соединению между браузером и сервером. Такую атаку можно выполнить, к примеру, если пользователь подключен к незашифрованной точке доступа Wi-Fi (в кафе, метро и других публичных местах).

Крупные IT-компании уже занялись решением проблемы. В Google сказали, что они уберут поддержку устаревшего ПО. Mozilla пообещала деактивировать протокол в следующей версии браузера Firefox, а Microsoft выпустила рекомендацию клиентам отключить SSL 3.0 на Windows для ПК и серверов.

Computerworld

дополнительноВ Windows найдена новая опасная уязвимостьShellshock оставил беззащитным ИнтернетСвыше 300 000 серверов не устранили уязвимость HeartbleedХакеры активно используют новую "дыру" в Internet ExplorerВ популярных менеджерах паролей нашли уязвимости