Un grupo de investigadores de Google ha revelado un bug crítico en el veterano estándar de cifrado SSL 3.0. Esta vulnerabilidad, denominada "POODLE", abre camino a ataques man-in-the-middle para acceder a cookies HTTP que podrían contener información sensible, eludiendo por completo el protocolo de seguridad.
La versión afectada de SSL ya cuenta con 15 años de historia y en la mayoría de los casos ha dejado paso a protocolos de cifrado más modernos. No obstante, el problema sigue de relevancia debido a que SSL 3.0 todavía se utiliza como alternativa cuando fallan sus versiones sucesoras, un comportamiento que se puede inducir de forma deliberada en algunos casos.
Por el momento, la compañía explica (pdf) que la mejor solución pasa por dar soporte tanto en navegadores como en servidores a la función TLS_FALLBACK_SCSV, que evita la regresión a protocolos por debajo de TLS 1.2. Este mecanismo cierra la vía de ataque sin causar problemas de compatibilidad por desactivar el soporte para SSL 3.0.
Los expertos de Google reconocen que no hay "una solución razonable" para POODLE, por lo que en última instancia "SSL 3.0 se deberá evitar por completo". En respuesta a la vulnerabilidad, la Universidad de Michigan ha publicado un estudio en el que se detallan los pasos para desactivar SSL 3.0 en navegadores y servidores.
Según los datos de la universidad, el 96,9% de las páginas del "top un millón" en el ranking Alexa dan soporte a SSL 3.0, mientras que solo un 0,12% de estas no ofrecen ninguna versión de TLS. En el lado de los navegadores, el principal riesgo corresponde a los usuarios de Internet Explorer 6 o inferior, que no presenta compatibilidad con TLS.
La versión afectada de SSL ya cuenta con 15 años de historia y en la mayoría de los casos ha dejado paso a protocolos de cifrado más modernos. No obstante, el problema sigue de relevancia debido a que SSL 3.0 todavía se utiliza como alternativa cuando fallan sus versiones sucesoras, un comportamiento que se puede inducir de forma deliberada en algunos casos.
Por el momento, la compañía explica (pdf) que la mejor solución pasa por dar soporte tanto en navegadores como en servidores a la función TLS_FALLBACK_SCSV, que evita la regresión a protocolos por debajo de TLS 1.2. Este mecanismo cierra la vía de ataque sin causar problemas de compatibilidad por desactivar el soporte para SSL 3.0.
Los expertos de Google reconocen que no hay "una solución razonable" para POODLE, por lo que en última instancia "SSL 3.0 se deberá evitar por completo". En respuesta a la vulnerabilidad, la Universidad de Michigan ha publicado un estudio en el que se detallan los pasos para desactivar SSL 3.0 en navegadores y servidores.
Según los datos de la universidad, el 96,9% de las páginas del "top un millón" en el ranking Alexa dan soporte a SSL 3.0, mientras que solo un 0,12% de estas no ofrecen ninguna versión de TLS. En el lado de los navegadores, el principal riesgo corresponde a los usuarios de Internet Explorer 6 o inferior, que no presenta compatibilidad con TLS.
Ha habido un "efecto llamada" el problema es que son librerias y protocolos muy antiguos que tienen ya poco o casi nulo mantenimiento... cuando salió a la luz el primero pues se empezó a investigar otros que estaban ahí en el olvido pero que podrían tener los mismo problemas...
Esto es bueno, mientras se vaya corrigiendo, hacía falta un repasito profundo.
Que no quepa duda compañero. La importante es que se vayan corrigiendo, lo que no sabemos el alcance que puede tener esto. Nos quedan muchas noticias similares a esta por ver seguramente.
xDDDDDDD. Deberian banear por unos dias a todos los usuarios que pongan pole y no solo los usuarios los miembros del Staff tambien deben sufrir en caso de que lo hagan xD. Pero claro que justamente es casualidad que ponga POLE... Hace unos dias encontre un usuario en ADV que justamente tenia de nombre TOMAFAKE y resulta que en realidad se llama TOM EKAFA y claro puso su apellido al reves y el resultado xD. (o eso dijo el, que no sabia ingles y no sabia lo que era un fake).
El caso es que nadie sabia de este fallo y cuando lo descubren todo el mundo se entera y mas si dicen que alexa es la que mas tiene, si llego a ser Haker ya estaria tratando de probarlo y sacarle datos y contraseñas. Si yo descubro una vulnerabilidad pues lo informaria de forma privada asi cuando salga a la luz ya estara complemtamente tapado, aunque claro siempre hay bocas por el mundo.
Ojo con esto, porque la v33 no soluciona el problema.
Según lo que se puede leer en este enlace en Firefox no se va a solventar hasta el 25 de Noviembre, que es la fecha en la que van a sacar Firefox 34. El que no quiera esperar tiene que instalar manualmente la siguiente extensión:
https://addons.mozilla.org/en-US/firefo ... n-control/
Un saludo.
Lo de POLE no lo veo mal si antes as hecho un comentario relevante al tema.
Lo realmente preocupante es que esto se detecte 15 años despues, y que se quede uno pensando cuando hackers/gobiernos han estado aprovechandose de esta vulnerabilidad.
Y mas aun, cuantas vulnerabilidades existen aun no descubiertas y que en este momento estan usando para invadir nuestra privacidad. [+furioso]