Ernstig lek gevonden in oude SSL versie

Onderzoekers van Google hebben een ernstig probleem gevonden in SSL 3. Dit probleem maakt het mogelijk voor aanvallers om pakketten te onderscheppen en cookies te stelen. Hoewel SSL 3 al jaren verouderd is, wordt het nog steeds ondersteund.

SSL_Certificates_Powered_by_GeoTrust_0

De onderzoekers van Google hebben de bug Poodle genoemd. Poodle staat voor Padding Oracle On Downgraded Legacy Encryption. In tegenstelling tot de bug in OpenSSL (Heartbleed) waarbij de inhoud van het geheugen van de server kon worden gelezen, is Poodle geen kwetsbaarheid in het SSL gedeelte zelf, maar in het onderliggende protocol. De kwetsbaarheid bevindt zich in rc4, het cryptografische algoritme dat door ssl 3.0 wordt gebruikt om berichten te versleutelen. Dat dat algoritme rammelt, is al langer duidelijk. De Google-onderzoekers hebben nu een aanval weten te ontwikkelen waarmee die kwetsbaarheid kan worden misbruikt. Daarvoor moet een aanvaller wel iemands verkeer kunnen onderscheppen, bijvoorbeeld door een malafide netwerk op te zetten. Vervolgens kan javascript worden gebruikt om cookies te onderscheppen.

Google heeft zelf alvast ssl 3.0-ondersteuning uit Google Chrome verwijderd. Ondanks dat ssl 3.0 volgens Mozilla nog steeds voor miljoenen transacties wordt gebruikt, wordt de ondersteuning in Firefox 34 ook uitgefaseerd. Als ook serversoftware ondersteuning voor ssl 3.0 uitfaseert, levert dat vooral problemen op voor gebruikers van oudere software, zoals gebruikers van Internet Explorer 6. Gebruikers kunnen testen of hun browser getroffen is via Poodletest.com.

You May Also Like

Reageer

This site uses Akismet to reduce spam. Learn how your comment data is processed.