In zes weken tijd Google zijn het vrijgeven van nieuwe versie van de browser te voorkomen Zich baserend op een bug in de SSL 3.0 Certificaat.
Zoals we eerder deze maand schreef Google ontdekte een stroming in de SSL 3.0 certificaat van websites en servers waardoor aanvallers om informatie van gebruikers te stelen. De fout gevonden heet officieel Padding Oracle On Downgraded Legacy Encryption (POODLE). Wat het doet is waardoor hackers om informatie en cookies van gebruikers te stelen door de zogenaamde Man-in-the-Middle (MITM) techniek, vertrouwen op onbeveiligde verbindingen waar ze leiden gebruikers om terug te vallen in eerdere versies, zoals de hierboven genoemde certificaat.
Google heeft aangekondigd dat ze een nieuwe versie van hun Chrome browser zal het vrijgeven van in zes weken tijd om die fout te verwijderen. Het vermogen van de versie van de nieuwe browser om terug te vallen op verkeerde of buggy servers worden standaard uitgeschakeld.
'SSLv3-fallback is alleen nodig om buggy HTTPS-servers ondersteunen. Servers die correct ondersteunen alleen SSLv3 zal blijven werken (voor nu) maar sommige buggy servers kunnen stoppen met werken. Het antwoord in deze gevallen is de server te repareren — TLS 1.0 is bijna 15 jaar oud op dit punt ', Adam Langley, een Google security engineer, zei in een post aankondiging van de release.
Ontbreekt de tijd om de fout voor de gebruikers terug te vallen naar buggy servers vertalen, Versie van Chrome 39 zal alleen een foutmelding waarin staat 'ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION tonen’ om het probleem te identificeren. Een gele badge in de adresbalk van de browser zal gebruikers waarschuwen wanneer zij websites werken met SSL in te voeren 3.0 en deze zal moeten worden opgewaardeerd tot ten minste TLS 1.0 voordat Chrome 40 wordt vrijgegeven.
→'Nochtans, een gebrek aan een geel kenteken wil niet zeggen dat alles in orde zal zijn als er nog zouden kunnen subresources van de pagina die wordt geserveerd op SSLv3 verbindingen. Ontwikkelaars kunnen Chrome draaien met –ssl-versie-min = TLS1 om hun sites te testen. ', Langley bericht blijft.
Google Chrome 40 is te wijten aan worden uitgebracht in twaalf weken tijd, dat wil zeggen. 6 weken na de release en SSL Chrome 39's 3.0 steun volledig verwijderd zijn code. Dit is onder de voorwaarde dat alle servers zijn bijgewerkt naar TLS 1.0 versie tenminste tegen dan al.
'In de tijd, SSLv3 client support zal uit de code worden verwijderd, zodat iedereen het opnieuw aanzetten van SSLv3 en / of Terugvallen op het via beleid, command line opties of over:vlaggen moet niet te behandelen, dat als een oplossing op lange termijn. ", waarschuwt de post.
Eerder deze maand, om POODSLE aanslagen te voorkomen Mozilla kondigde ook dat ze zullen worden vrijgeven van een nieuwe versie van de browser - Mozilla 34. Het is te wijten aan november 25.
Gebruikers die werken met Microsoft's Internet Explorer kan een oplossing om het probleem te voorkomen gelden, volgend Microsofts gids hier.
Echter, met behulp van beveiligde VPN-verbindingen, met name op openbare plaatsen, De beste bescherming tegen deze aanvallen blijft.
