Início » Antivírus e Segurança » Google descobre falha importante no SSL 3.0

Google descobre falha importante no SSL 3.0

Por
5 anos atrás

O Google revelou em seu blog de segurança a descoberta de uma vulnerabilidade no protocolo SSL 3.0. Chamada de POODLE (Padding Oracle On Downgraded Legacy Encryption), a falha pode não ser tão grave quanto o Heartbleed, que veio à tona em abril, mas é suficientemente importante para exigir cuidados adicionais de segurança.

Bodo Möller, o especialista do Google que reportou a falha, explica que o POODLE explora características de compatibilidade de algumas implementações do TLS (protocolo de proteção mais atual e seguro) que permitem a comunicação com servidores que ainda utilizam o SSL 3.0, uma versão bastante antiga e, portanto, muito mais suscetível a falhas.

Na prática, este aspecto indica que servidores protegidos com TLS (Transport Layer Security) estão imunes ao problema, mas o mesmo não se pode dizer daqueles que continuam sendo compatíveis com a versão 3.0 do SSL (Secure Sockets Layer).

falha_ssl

Um invasor pode forçar estes serviços a usarem SSL 3.0 para se conectar a um computador. Em seguida, a criptografia da comunicação pode ser quebrada, facilitando a interceptação ou até mesmo a alteração de cookies e outros dados inerentes à conexão. Como consequência, os dados confidenciais do usuário ou da aplicação acabam ficando expostos.

Para combater o problema, o Google recomenda a imediata desativação da compatibilidade com SSL 3.0 nos servidores (mais detalhes aqui e aqui).

Mudanças nos navegadores também são importantes. O Google promete desabilitar o suporte ao protocolo do Chrome em uma versão próxima. A Mozilla está seguindo pelo mesmo caminho: o Firefox 34, a ser lançado no final de novembro, terá a compatibilidade com o SSL 3.0 desativada por padrão.

Com informações: The Register

Participe das conversas do Tecnoblog

Leia o post inteiro antes de comentar
e seja legal com seus amiguinhos.

Carregar Comentários Conheça nossa política de comentários aqui.