Ironikus, de épp a Netscape születésnapján hozták nyilvánosságra az általuk fejlesztett SSL titkosítási protokoll hibáját. A megoldás viszonylag egyszerű: a böngészőben le kell tiltani az SSL 3.0 használatát. A sérülékenységet felfedező Google reméli, hogy a sebezhető technológia gyorsan kikopik a használatból, és mind az üzemeltetőket, mind a szofverfejlesztőket együttműködésre kéri.
A Google kutatói bejelentették, hogy súlyos sebezhetőséget találtak egy régi, ám még mindig használt titkosító protokollban, ami megfelelő feltételek mellett lehetővé teszi, hogy a támadók hozzáférjenek a böngészőn keresztül a célpont személyes adataihoz.
A POODLE-nek (pudlinak) elnevezett hiba az SSL, azaz a szerverek és a kliensgépek közötti adatforgalom titkosítását végző Secure Sockets Layer közel 20 éves, 3.0-s verziójában található. (A felfedezők – Bodo Möller, Thai Duong és Krzysztof Kotowicz – a Padding Oracle On Downgraded Legacy Encryption kifejezésből alkották meg a betűszót.)
A ma használt böngészőkben többnyire a a protokoll továbbfejlesztett változatát, a TLS-t (Transport Layer Security) használják, de többségük elfogadja az SSL 3.0-t is. Ha egy adott szerver támogatja ezt, a felhasználó támadhatóvá válik, ugyanis a zökkenőmentes működés érdekében gyakran engedélyezik az átmeneti visszalépést, ha a TLS-nél valamilyen problémát észlelnek.
Nem tudni, a sebezhetőség kockázata mennyi veszélyt jelenthet, mert magát a hibát nem túl egyszerű kihasználni. A támadónak mindenképp szükséges beavatkoznia az adatáramlásba, vagyis alkalmaznia kell egy MitM (man-in-the-middle) támadást is, és ehhez a legtöbb esetben a JavaScript futására is szükség van a böngészőben. (Épp ezért a nyilvános wifit használók vannak a legnagyobb veszélyben.) A sikeres támadás során nem hekkelik meg a felhasználó számítógépét, csak a titkosított üzenetek tartalmát ismerhetik meg.
A megoldás viszonylag egyszerűnek tűnik – ha a szerver és a kliens közül az egyik nem támogatja az SSL 3.0-t, támadni sem lehet –, de szerveroldalon problematikus a tiltás, mivel a szolgáltatók a még mindig használt informatikai őskövület, az Internet Explorer 6 miatt engedik az alacsonyabb verziószámú protokoll futtatását. Ha nem tennék meg, az IE6-tal nem lehetne elérni az oldalaikat.
A Google már kidolgozott egy megoldást a szerverek részére, ami nem engedi az SSL 3.0-t használni. A cég javasolta a program alkalmazását az üzemeltetőknek, de a kliensoldali támogatás megszüntetését is sürgették. A Mozilla is bejelentette, hogy a november 25-én kiadandó új Firefox-verzióban már tiltva lesz az SSL 3.0 használata. A Microsoft is kiadott egy tájékoztatót, amiben felhívták az ügyfeleik figyelmét, hogy mindenhol tiltsák le az SSL 3.0 támogatását.
És hogy ön veszélyben van-e? Kattintson ide; ha a szöveg alatt egy pudli rajzát és a VULNERABLE feliratú szövegbuborékot látja, a böngészője támadható. Ha egy terriert lát, NOT VULNERABLE felirattal, akkor minden oké.