Onderzoekers Google vinden nieuw lek in SSL

Toegevoegd door - Ariën -, 11 jaar geleden

Onderzoekers Google vinden nieuw lek in SSLOnderzoekers van Google hebben een nieuwe kwetsbaarheid in het beveiligings-algoritme SSL ontdekt. De kwetsbaarheid is gevonden in SSL 3.0, welke al tijden verouderd is. Met een aanval is het mogelijk om pakketten te kunnen onderscheppen, zoals de pakketjes waarin cookies worden omschreven.

De bug is door de onderzoekers naar Poodle gedoopt (Padding Oracle On Downgraded Legacy Encryption). Al eerder was al het serieuze 'Heartbleed' aangetroffen in OpenSSL, waarmee het mogelijk was om datapakketjes te kunnen onderscheppen uit een SSL-beveiligde omgeving. Met het Poodle-lek zit het lek niet zozeer in SSL zelf, maar in onderliggende protocol.

De aanval is niet erg makkelijk op te zetten en kent een paar voorwaarden. Er moet via een 'Man in the Middle'-attack zoals een malafide (WiFi-)netwerk de datapakketjes worden opgepakt. Daarna kan men met Javascript de cookies stelen. Die methode is vergelijkbaar met de Beast-kwetsbaarheid in TLS 1.0 die in 2011 aan het licht kwam.

Helaas is er geen workaround beschikbaar benadrukken de onderzoekers. De enige manier is om SSL 3.0 volledig te vermijden. Het probleem echter is dat veel browsers en servers deze verouderde versie van SSL nog ondersteunen. Een aanvaller kan de browser van een gebruiker er bovendien toe verleiden om over te stappen op ssl 3.0, door handshakes met nieuwere ssl/tls-versies te laten mislukken.

Wel is duidelijk dat zowel Google de ondersteuning uit Chroma gaat halen, en dat Mozilla dit ook met Firefox zal doen. Ook zullen servers op termijn SSL 3.0 op termijn kunnen gaan weigeren, Dit betekent dat gebruikers van Internet Explorer 6.0 mogelijk problemen zullen krijgen bij het benaderen van websites via SSL 3.0. Gebruikers kunnen testen of hun browser getroffen is via Poodletest.com.

Gerelateerde nieuwsberichten

05/03/2020 Let's Encrypt trekt drie miljoen certificaten in na ontdekken bug
09/02/2020 Chrome gaat downloaden van bestanden via http blokkeren
16/10/2018 'Drieduizend sites onbetrouwbaar vanwege onveilig Symantec certificaat'

 

Er zijn 1 reacties op 'Onderzoekers google vinden nieuw lek in ssl'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Koen Hollander
Koen Hollander
11 jaar geleden
 
0 +1 -0 -1
Ik heb meteen mijn sslv3 uitgezet op m'n webserver voor klanten. Anders is alles te onveilig.

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.