Новости
В широко используемом криптографическом протоколе SSL найдена опасная уязвимость

В широко используемом криптографическом протоколе SSL найдена опасная уязвимость


Encryption-1280x720

Команда из трех исследователей Google обнаружила неприятную уязвимость в популярном криптографическом протоколе, которая вызвала широкий резонанс среди большинства пользователей интернета, поспешно проводящих оценку безопасности собственных систем.

В опубликованном исследователями Google описывается новый способ атаки под названием POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяющий обойти механизмы защиты на базе криптографического протокола SSL (да-да, этот же протокол фигурировал ранее в этом году, когда была найдена опасная уязвимость Heartbleed). Эта ошибка, которая также известна как «Poodlebleed», не столь опасна и всеобъемлющая, как Heartbleed, но все же сумела посеять панику в сообществе исследователей.

Различные интернет-площадки все активнее внедряют шифрование для защиты важных данных пользователей. Подобные средства защиты существенно усложняют злоумышленникам задачу по перехвату информации, передаваемой по каналам связи. К ним можно отнести криптографические протоколы SSL и TLS, широко используемые для защиты информации, передаваемой между клиентом и сервером. О поддержке тем или иным веб-сайтом защищенного соединения SSL говорит иконка в виде замка зеленого цвета наряду с упоминанием протокола HTTPS в URL ресурса. В случае компрометации SSL перед опытным злоумышленником открывается целый вектор для атаки, которую можно осуществлять из любой точки сети.

В предоставленном исследователями Google отчете данная уязвимость расписана в деталях, что обеспечивает системным администраторам преимущество в поисках решения проблемы, а потенциальным злоумышленникам – показывает все способы использования уязвимости на свой лад.

Стоит отметить, что POODLE имеет отношение к SSL версии 3.0, которая была заменена 15 лет назад. Тем не менее, эта версия протокола до сих пор поддерживается многими системами и может быть активирована при определенных обстоятельствах. В этой связи исследователи призывают системных администраторов отказаться от поддержки SSL 3.0, чтобы предотвратить возможность совершения POODLE-атаки.

«Если обе стороны поддерживают только SSL 3.0, то в таком случае надежды на предотвращение атаки нет» – говорится в отчете. – «Требуется серьезное обновление, чтобы исключить незащищенное соединение».

Больше подробностей об уязвимости можно найти в официальном блоге Google.

Источник: The Verge


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: