Računalništvo, telefonija
16.10.2014 13:12

Deli z drugimi:

Share

Ranljivost v protokolu SSL 3.0 ogroža varnost vseh uporabnikov spleta!

Varnostnem protokolu SSL 3.0 so zaradi ranljivosti že šteti dnevi!
Varnostnem protokolu SSL 3.0 so zaradi ranljivosti že šteti dnevi!

Trije Googlovi inženirji Bodo Möller, Krzysztof Kotowicz in Thai Duong so nedavno objavili poročilo, ki razkriva še eno varnost luknjo v varnostnem protokolu SSL 3.0 in postavlja vse uporabnike svetovnega spleta v nezavidljiv položaj. Ranljivost v skoraj 18 let starem protokolu namreč omogoča prestrezanje in dešifriranje prometa med uporabnikom in strežnikom, pri čemer napadalec potrebuje zgolj nekaj minut. Čeprav mora biti napadalec v istem omrežju kot žrtev in mora žrtvin spletni brskalnik okužiti s škodljivo programsko kodo, je ranljivost v spletnem protokolu SSL 3.0 potrebno jemati z veliko mero resnosti, kar še posebej drži v primeru, da imamo opravka z občutljivim podatki, kot so na primer številke kreditnih kartic.

Varnostno luknjo v spletnem protokolu SSL 3.0 so Googlovi inženirji poimenovali POODLE (Padding Oracle On Downgraded Legacy Encryption), ranljivost pa lahko napadalci izkoristijo tako, da spletni brskalnik prisilijo k uporabi ranljivega protokola na način, da mu sporočijo, da ima žrtvin spletni brskalnik težave z »razumevanjem« novejših varnostnih protokolov TLS. Googlovi varnostni strokovnjaki so ob tem dodali, da njihov spletni brskalnik Chrome še vedno podpira SSL 3.0, vendar bodo podporo zanj v prihajajočih mesecih ukinili. Umaknitev podpore za ranljivi spletni protokol so pred kratkim naznanili tudi pri konkurenčnem podjetju Mozilla.


Prijavi napako v članku