Hoy, Google publicó una vulnerabilidad en SSL 3.0 que pone en riesgo la integridad y confidencialidad de la información transmitida mediante este protocolo. El ataque, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption), aprovecha la retrocompatibilidad que tienen algunas implementaciones TSL para comunicarse con servidores que aún utilicen el viejo e inseguro SSL 3.0.
Bodo Möller, uno de los descubridores de la vulnerabilidad, explica en el blog de seguridad de Google que casi todos los navegadores soportan SSL 3.0 para evitar bugs en los servidores HTTPS, reintentando las conexiones fallidas con versiones más viejas de los protocolos.
Con esta mecánica, un atacante puede forzar el uso de SSL 3.0 y calcular una contraseña, cookie o similar, permitiéndole obtener información confidencial e incluso modificarla antes de enviarla al recipiente original.
Para esto, Google pide evitar totalmente el uso de SSL 3.0, recomendando el mecanismo TLS_FALLBACK_SCSV tanto en los servidores como en los navegadores para prevenir el downgrade de protocolo en estos últimos.
Para concluir, Google espera retirar completamente de sus productos el soporte para SSL 3.0. El veto del protocolo de casi 15 años de edad romperá algunos sitios que aún lo utilicen, por lo que tendrán que ser actualizados en cuanto antes para que puedan ser visitados.
