Un grupo de desarrolladores de Google descubrió un fallo de seguridad en SSL 3.0 llamado POODLE (Padding Oracle On Downgraded Legacy Encryption) que permite interceptar datos que se transmiten entre una PC y un servidor web.
Ésta es la tercera vez en el año que investigadores descubren importantes vulnerabilidades de seguridad como Heartbleed y Shellshock.
De acuerdo con expertos en seguridad, hackers pueden robar cookies del navegador, lo que potencialmente podría darles acceso a cuentas de correo, de banco y de redes sociales. A pesar de esto, los investigadores aseguraron que la falla no es tan importante como las 2 anteriores. "Si Shellshock y Heartbleed son nivel de amenaza 10, entonces POODLE es como un 5 o un 6", comentó Tal Klein, vicepresidente de la firma de seguridad en la nube, Adallom.
Como resultado de esta vulnerabilidad Google comentó que removerá eventualmente soporte para SSL 3.0 de todo el software del lado del cliente.
Google no es la única compañía que tomará cartas en el asunto, pues Mozilla deshabilitará SSL 3.0 en su siguiente entrega de Firefox que será lanzada el 25 de noviembre. "SSL versión 3.0 ya no es segura", comentó la compañía en su blog. "Los navegadores y los sitios necesitan desactivar SSLv3 y usar protocolos de seguridad más modernos tan pronto como sea posible."
Por su parte, Apple liberó un parche para OS X Mavericks para evitar problemas con esta vulnerabilidad.
Para mitigar el ataque, se puede deshabilitar SSL 3.0 totalmente en el lado del cliente y del servidor y se recomienda usar protocolos de cifrado más modernos como TLS (Transport Layer Security).
Deja tu comentario