22 diciembre 2024

Investigadores de Goolge descubren grave vulnerabilidad en el protocolo SSL 3.0

google-sign-flickr

Investigadores de Google publicaron un documento en el cual indican el hallazgo de una grave vulnerabilidad en el protocolo SSL 3.0, la cual puede ser usada para interceptar data que se supone debería estar cifrada.

SSL 3.0 ya tiene 15 años y  casi todos los navegadores lo soportan.  Con el fin de evitar errores en los servidores HTTPS, los navegadores muchas veces vuelven a intentar conexiones con versiones viejas protocolos, incluyendo SSL 3.0. Debido a que un atacante puede provocar fallos en la conexión, de esa manera es como fuerzan el uso de SSL 3.0, para luego aprovechar la vulnerabilidad.

POODLE (Padding Oracle On Downgraded Legacy Encryption) es el nombre que utiliza Google para denominar este tipo de ataque.

La recomendación que ofrecen los investigadores es desactivar el protocolo SSL 3.0 tanto en servidores, como en clientes.  Los usuarios pueden tratar de desactivar el protocolo SSL 3.0 si es que su navegador ofrece esta opción, sino deberán tratar de utilizar navegadores que soporten TLS_FALLBACK_SCSV, el cual previene este tipo de ataques.

Google indicó que en los próximos meses quitará soporte al protocolo SSL 3.0, pero mientras tanto y hasta que llegue ese momento, lanzará un patch para desactivar ese protocolo.  Por su parte Mozilla también anunció que SSL3.0 será desactivado por defecto en Firefox 34, que será lanzado en noviembre 25.  El código para desactivarlo ya está presente en la versión Nightly, y será promovido a las versiones Aurora y Beta en las próximas semanas.

Imagen Robert Scoble

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →