Investigadores de Google publicaron un documento en el cual indican el hallazgo de una grave vulnerabilidad en el protocolo SSL 3.0, la cual puede ser usada para interceptar data que se supone debería estar cifrada.
SSL 3.0 ya tiene 15 años y casi todos los navegadores lo soportan. Con el fin de evitar errores en los servidores HTTPS, los navegadores muchas veces vuelven a intentar conexiones con versiones viejas protocolos, incluyendo SSL 3.0. Debido a que un atacante puede provocar fallos en la conexión, de esa manera es como fuerzan el uso de SSL 3.0, para luego aprovechar la vulnerabilidad.
POODLE (Padding Oracle On Downgraded Legacy Encryption) es el nombre que utiliza Google para denominar este tipo de ataque.
La recomendación que ofrecen los investigadores es desactivar el protocolo SSL 3.0 tanto en servidores, como en clientes. Los usuarios pueden tratar de desactivar el protocolo SSL 3.0 si es que su navegador ofrece esta opción, sino deberán tratar de utilizar navegadores que soporten TLS_FALLBACK_SCSV, el cual previene este tipo de ataques.
Google indicó que en los próximos meses quitará soporte al protocolo SSL 3.0, pero mientras tanto y hasta que llegue ese momento, lanzará un patch para desactivar ese protocolo. Por su parte Mozilla también anunció que SSL3.0 será desactivado por defecto en Firefox 34, que será lanzado en noviembre 25. El código para desactivarlo ya está presente en la versión Nightly, y será promovido a las versiones Aurora y Beta en las próximas semanas.
Imagen Robert Scoble