Google 在 SSL 3.0 中發現安全漏洞

Google安全團隊成員報告在SSL 3.0加密協議中發現了一個安全漏洞(PDF， 被稱為POODLE攻擊)，允許攻擊者計算出加密通訊的明文內容。SSL 3.0已有近15年歷史，已被TLS 1.0/1.1/1.2所取代，但今天的絕大部分瀏覽器仍然向后兼容SSL 3.0，默認情況下會使用新版的TLS協議，但如果協議握手失敗，瀏覽器會嘗試使用舊版的SSL 3.0。攻擊者可以制造握手失敗誘使瀏覽器使用SSL 3.0建立加密連接，然后利用漏洞破解加密內容。禁用瀏覽器的SSL 3.0支持足以減輕這一問題，但兼容性問題又會出現。有意思的是， Google早已從Chrome中移除了啟用禁用 SSL版本的選項。開發者表示他們正測試在Chrome中禁用SSL 3.0，并計劃未來幾個月從產品中全面移除SSL 3.0支持。

載自: Solidot