Hlavní navigace

Tenhle pudl kouše. Po Heartbleedu je tu další díra v SSL – Poodle

Jan Kovalík 15. 10. 2014

Google upozornil na další bezpečnostní díru v šifrovacím protokolu SSL, která útočníkům umožňuje získat informaci z cookies uživatelů.

Trojice výzkumníků společnosti Google včera odhalila bug Poodle „Padding Oracle On Downgraded Legacy Encryption“ a tento pudl opět vyděsil správce webů po celém světě.

Zabezpečení SSL 3 je již 15 let staré, a jeho dopad proto není tolik drtivý jako v případě hrozeb Heartbleed nebo Shellshock, nicméně velké množství webů toto zabezpečení stále využívá nebo alespoň dovoluje jeho využití v případě, že není možné využít novější verze.

Protokol SSL chrání komunikaci mezi uživatelem a internetovou stránkou, většina uživatelů jej zná v podobě zeleného indikátoru v příkazovém řádku prohlížeče, který signalizuje, že se nachází v bezpečné zóně HTTPS.

Útočníci mají tedy dvě možnosti, jak zranitelnosti SSL 3 využít. Buď se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3. Druhým způsobem je provedení klasického “man in the middle” útoku, například pomocí falešné WiFi sítě v nákupním centru nebo kavárně.

Pokud se uživatelé do bezdrátové sítě útočníka připojí, může pak za využití Poodle chyby získat obsah uživatelovy cookie, ze které může získat například jména a hesla k emailovým účtům, účtům na sociálních sítích nebo přístupové údaje do internetového bankovnictví.

EBF16

Google vyzval správce sítí, aby podporu staré verze zabezpečení SSL 3 ze svých webů odstranili a nadále nevyužívali. Na rozdíl od zmíněného bugu Heartbleed, který ohrozil dvě třetiny světových webů, z nichž k nápravě řada přistoupila až po měsících po jeho zveřejnění, zabezpečení proti Poodle by mělo být rychlejší.

Google již aktualizací svého prohlížeče Chrome ukončil podporu zabezpečení SSL 3 a předpokládá se, že ho budou v podobě automatické aktualizace následovat i konkurenční prohlížeče Firefox (Mozilla), Internet Explorer (Microsoft) a Safari (Apple).

Našli jste v článku chybu?
Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?