För några månader sedan så skrev vi om en ändring som genomfördes till TLS-protokollet som heter SCSV som försvårar nedgraderingsattacker. Jag anade redan då att Google hade genomfört en attack mot TLS/SSL och det har nu visat sig stämma.

”This POODLE bites”: CVE-2014-3566.

Poodle står för Padding Oracle On Downgraded Legacy Encryption.

Attacken nyttjar det sätt som CBC används i SSL 3.0 och en eventuell angripare måste ha tillgång till anslutningen (mitm) såsom en statlig aktör eller på ett café. Samt så nyttjar POODLE det faktum att anslutningar går att nedgradera (nedgraderingsattack/dans).

Läs dokumentet som beskriver attacken i detalj här (PDF):

 

Turligt nog är detta dödsstöten för SSL 3.0 som många har väntat på. Ungefär 0.6% av användarna på internet surfar med en webbläsare som högst stödjer detta.

Även gick OpenSSL ut idag med en ny varning om en sårbarhet som uppdagats:

SRTP Memory Leak (CVE-2014-3513)

Läs mer här: www.openssl.org/news/secadv_20141015.txt