Google откри наскоро нова уязвимост във вече остарелия протокол SSL 3.0, който обаче се използва от повечето съвременни браузъри при проблем с интернет връзката.
Хакери могат умишлено да нарушат връзката, след което браузърът ще се опита да използва по-старите версии на протокола, вкл. 3.0, излагайки на риск сигурността на системата.
Според описанието, дадено от Google, екплойт на откритата уязвимост може да се използва за атаки по метода за прихващане на съобщения и подмяна на ключове с цел дешифриране на защитени данни от HTTP „бисквитки” (кукита).
Дупката може да бъде затворена с изключване на поддръжката на SSL 3.0 или чрез режим на CBC-кодиране с поддръжка на SSL 3.0. Този подход обаче ще доведе до значителни проблеми със съвместимостта и отказ в работата на сайтовете.
[related-posts]
Google препоръчва използване на механизма TLS_FALLBACK_SCSV, който решава проблема с повторното установяване на връзка и пречи на хакерите да принудят браузъра да използва SSL 3.0. Този механизъм забранява също така превключването от протокол TSL 1.2 към по-ранна версия, с което се избягват бъдещи атаки.
Уеб сървърите на Google и браузърът Chrome още от февруари получиха поддръжка на механизма TLS_FALLBACK_SCSV. Освен това екипът на Chrome вече тества изключване на възможността за връщане към SSL 3.0.
