Una falla ribattezzata POODLE (“barboncino” e acronimo di Padding Oracle On Downgraded Legacy Encryption) è stata individuata nel protocollo SSL. La vulnerabilità potrebbe essere sfruttata per eseguire attacchi “man in the middle”, facili da portare a termine se vittima e aggressore sono sulla stessa rete WiFi. La scoperta è dei dipendenti di Google Bodo Möller, Thai Duong e Krzysztof Kotowicz; Duong è noto per avere scoperto insieme a Juliano Rizzo la falla denominata BEAST nel 2011 e CRIME nel 2012.
L’attacco sfrutta la possibilità che molti web server e browser web offrono di usare ancoa il vecchio protocollo SSL versione 3 per mettere al sicuro le comunicazioni. Benché l’SSL sia stato sostituito dal Transport Layer Security, è ancora supportato da server e client, ed è richiesto, ad esempio, per offrire la compatibilità con Internet Explorer 6. L’SSLv3, al contrario del TLS 1.0 o successivi, omette la validazione di alcuni dati che accompagnano ciascun messaggio; gli attaccker potrebbero sfruttare tale vulnerabilità per decifrare singoli byte alla volta di dati cifrati, estraendo il testo in chiaro del messaggio byte dopo byte.
Il bug non è grave quanto Heartbleed, ma è rilevante giacché l’SSL è un protocollo usato per proteggere i dati in transito tra un sito web e gli utenti; se viene compromesso, anche i dati degli utenti potrebbero essere a rischio. Gli amministratori di sistema dovranno aggiornare i vecchi protocolli usati sui server passando a TSL 1.0 o release ancora più nuove: questo infatti esegue verifiche più robuste, non suscettibili ai problemi del protocollo più vetusto. Società come CloudFlare hanno già annunciato di aver disabilitato per default l’SSLv3 dai propri server e probabilmente anche altre faranno lo stesso. A detta di CloudFlare solo lo 0.65% del suo traffico HTTPS sfruttava a ogni modo SSLv3. Mozilla ha fatto sapere che disabiliterà automaticamente il supporto a SSLv3 con l’update a Firefox 34; è probabile che altri sviluppatori di browser attiveranno update con impostazioni specifiche.
