Googleの研究者BodoMöller, タイドゥオン & Krzysztof Kotowiczは昨日、ダウングレードされたレガシー暗号化でのPaddingOracleを最近発見したと発表しました。, プードルとして知られています, SSLを攻撃する 3.0 Microsoftによって導入された公開暗号化キーのバージョン 1996. の 1999 キーは新しいバージョンに置き換えられました, TLSの名前で知られています 1.0, その後さらに2つ (TLS 1.1 & TLS 1.2) しかし、ウェブサイトとブラウザの大多数はまだ古いものを使用しています, 安全性の低いバージョンの証明書. POODLEが行うことは、安全な接続を確立できない場合に誰かが古いバージョンにダウングレードするときに利用することです. ダウングレードは、ネットワークの不具合やライブハッカーの攻撃によっても引き起こされる可能性があります.
なぜ誰もがまだSSLを使用しているのですか 3.0 ほぼいつ 20 年歳?
「問題は、インターネットには、互いに独立して進化する可動部分が山ほどあることです。」, セキュリティ研究者のトロイハントは言う. …. 'そしてそれはSSLである; 二者が (ブラウザとサーバーを言う) 進化のさまざまな段階にあり、さまざまなバージョンのサポートを提供します, 彼らは手を上げて「私たちはうまくやっていけない」と言うことができます’ または、妥協して、両方がサポートできる共通バージョンにフォールバックすることもできます. 後者の方が使いやすいので、よくあることです. (ちなみに, これは暗黙的に、ユーザーの操作なしで発生します. これは'機能です。)’
プードルのバグ演技の仕方
これは通常、セキュリティで保護されていないパブリックWi-Fi接続を使用している場合に表示され、自宅にいる場合は発生する可能性がほとんどありません。, Wi-Fiで保護された接続を使用する. いわゆる中間者技術を使用します. サイバーカフェや安全でないWi-Fiのある別の場所に座っている場合, 例えば, あなたの隣に座っているハッカー, 同じ安全でない接続を使用する, ネットワークをSSLにダウングレードするように強制する場合があります 3.0, したがって、現在インターネットを介して訪問しているのと同じ場所を閲覧することができます. このテクノロジーはパスワードやその他のユーザー確認データを盗むことはできませんが、あなたの隣に座っている誰かがあなたの電子メールを閲覧できる瞬間にあなたが見ているものを見ることができれば, フェイスブック, または問題なくTwitterメッセージ.
POODLE攻撃からの保護
このような攻撃から自分自身とデータを保護するためにできることがいくつかあります.
- 初めに, 可能であれば、無料Wi-Fiのある場所に個人情報を含むサイトにアクセスしないでください. あなたが本当にそうしなければならないなら, 可能であればVPN保護を使用する, それらはもはや仕事のためだけに使用されることはなく、少しのガイダンスで誰でもそのような接続を確立することができます.
- 2番, セキュリティで保護されていない接続を使用する場合は、アクセスしているサイトに注意してください. 攻撃者はSSLにダウングレードするために特別に設計されたJavaスクリプトコードを必要とします 3.0 そしてあなたの情報にアクセスし、可能であればそのようなサイトを訪問するようにあなたを騙すことができます.
- あなたのための3番目のそして最大の解決策はSSLを無効にすることです 3.0 使用しているブラウザからの証明書. 次のリリースでは 25 今年の11月、Mozillaはデフォルトでそれを削除する予定です.
Googleは現在Chromeのコードからそれをスクレイピングしています. MicrosoftのIE6より後のバージョンを使用することも問題を解決する可能性があります, マイクロソフトはまた、 公式ガイド 自分でブラウザから削除する方法. AppleのSafariは、次のリリースで削除すると噂されていますが、残念ながら, 公式情報は見つかりませんでした.
あなたがPOODLEに対して脆弱であるかどうかをテストする2つのページがあります – poodletest.comとpoodle.io. 彼らは実際には非常に面白く、あなたが脆弱な場合の進め方についてのガイドも含まれています. それらをチェックしてブラウザを修正してみてください-それは価値があります!
