Dal 29 ottobre Apple elimina il supporto all’SSL 3.0 passando al pià sicuro protocollo transport layer security (TSL). La novità riguarda gli sviluppatori: questi ultimi dovranno eventualmente adeguare le applicazioni che inviano notifiche push.Il cambiamento ha a che fare con la vulnerabilità POODLE (Padding Oracle On Downgraded Legacy Encryption) recentemente individuata dai ricercatori di Google nel protocollo SSL.
Benché l’SSL sia stato sostituito dal Transport Layer Security, è ancora supportato da alcuni server e client, usato, ad esempio, per offrire la compatibilità con il vecchio Internet Explorer 6. L’SSLv3, al contrario del TLS 1.0 o successivi, omette la validazione di alcuni dati che accompagnano ciascun messaggio; attaccker potrebbero sfruttare tale vulnerabilità per decifrare singoli byte alla volta di dati cifrati, estraendo il testo in chiaro del messaggio byte dopo byte.
Apple ha rilasciato update per OS X 10.8 e 10.9 con fix specifici per la vulnerabiità in questione. OS X 10.10 Yosemite e la versione aggiornata di iOS 8 integrano già i fix contro la vulnerabilità POODLE (“barboncino”)
