Google descobre falha importante no SSL 3.0
O Google revelou em seu blog de segurança a descoberta de uma vulnerabilidade no protocolo SSL 3.0. Chamada de POODLE (Padding Oracle On Downgraded Legacy Encryption), a falha pode não ser tão grave quanto o Heartbleed, que veio à tona em abril, mas é suficientemente importante para exigir cuidados adicionais de segurança.
Bodo Möller, o especialista do Google que reportou a falha, explica que o POODLE explora características de compatibilidade de algumas implementações do TLS (protocolo de proteção mais atual e seguro) que permitem a comunicação com servidores que ainda utilizam o SSL 3.0, uma versão bastante antiga e, portanto, muito mais suscetível a falhas.
Na prática, este aspecto indica que servidores protegidos com TLS (Transport Layer Security) estão imunes ao problema, mas o mesmo não se pode dizer daqueles que continuam sendo compatíveis com a versão 3.0 do SSL (Secure Sockets Layer).
Um invasor pode forçar estes serviços a usarem SSL 3.0 para se conectar a um computador. Em seguida, a criptografia da comunicação pode ser quebrada, facilitando a interceptação ou até mesmo a alteração de cookies e outros dados inerentes à conexão. Como consequência, os dados confidenciais do usuário ou da aplicação acabam ficando expostos.
Para combater o problema, o Google recomenda a imediata desativação da compatibilidade com SSL 3.0 nos servidores (mais detalhes aqui e aqui).
Mudanças nos navegadores também são importantes. O Google promete desabilitar o suporte ao protocolo do Chrome em uma versão próxima. A Mozilla está seguindo pelo mesmo caminho: o Firefox 34, a ser lançado no final de novembro, terá a compatibilidade com o SSL 3.0 desativada por padrão.
Com informações: The Register
