Onderzoekers Google vinden nieuw lek in SSL

Toegevoegd door - Ariën -, 12 jaar geleden

Onderzoekers van Google hebben een nieuwe kwetsbaarheid in het beveiligings-algoritme SSL ontdekt. De kwetsbaarheid is gevonden in SSL 3.0, welke al tijden verouderd is. Met een aanval is het mogelijk om pakketten te kunnen onderscheppen, zoals de pakketjes waarin cookies worden omschreven.

De bug is door de onderzoekers naar Poodle gedoopt (Padding Oracle On Downgraded Legacy Encryption). Al eerder was al het serieuze 'Heartbleed' aangetroffen in OpenSSL, waarmee het mogelijk was om datapakketjes te kunnen onderscheppen uit een SSL-beveiligde omgeving. Met het Poodle-lek zit het lek niet zozeer in SSL zelf, maar in onderliggende protocol.

De aanval is niet erg makkelijk op te zetten en kent een paar voorwaarden. Er moet via een 'Man in the Middle'-attack zoals een malafide (WiFi-)netwerk de datapakketjes worden opgepakt. Daarna kan men met Javascript de cookies stelen. Die methode is vergelijkbaar met de Beast-kwetsbaarheid in TLS 1.0 die in 2011 aan het licht kwam.

Helaas is er geen workaround beschikbaar benadrukken de onderzoekers. De enige manier is om SSL 3.0 volledig te vermijden. Het probleem echter is dat veel browsers en servers deze verouderde versie van SSL nog ondersteunen. Een aanvaller kan de browser van een gebruiker er bovendien toe verleiden om over te stappen op ssl 3.0, door handshakes met nieuwere ssl/tls-versies te laten mislukken.

Wel is duidelijk dat zowel Google de ondersteuning uit Chroma gaat halen, en dat Mozilla dit ook met Firefox zal doen. Ook zullen servers op termijn SSL 3.0 op termijn kunnen gaan weigeren, Dit betekent dat gebruikers van Internet Explorer 6.0 mogelijk problemen zullen krijgen bij het benaderen van websites via SSL 3.0. Gebruikers kunnen testen of hun browser getroffen is via Poodletest.com.