Investigadores de seguridad de Google descubrieron una nueva vulnerabilidad en SSLv3 que permitiría a un atacante interceptar el tráfico de sesión cifrado con este protocolo.
Secure Sockets Layer o SSL es un protocolo básico de encriptación utilizado para cifrar el trafico entre un usuario y un servidor de correo o entre el navegador y la pagina web del banco. Aunque este protocolo fue reemplazado por TLS (Transport Layer Security) hace ya algún tiempo, existen algunos navegadores antiguos que, por limitaciones en su tecnología, no lo soportan y continúan usando SSL.
Padding Oracle On Downgraded Legacy Encryption o POODLE, como fue llamada esta vulnerabilidad, podría permitir a un atacante capturar y desencriptar la cookie de sesión que te identifica en servicios como Twitter, Facebook y Google, y luego tomar control sobre tus cuentas sin la necesidad de conocer tus contraseñas.
Aun así, los investigadores indican que no es tan grave como Heartbleed o la reciente ShellShock, ya que para poder explotar la vulnerabilidad, el atacante debe estar en la misma red (Por ejemplo, en una Wifi Pública en un café) y tienes que estar ejecutando JavaScript, por lo que si estas en tu casa o en una red de confianza, el riesgo es mínimo.
Este ataque es realmente hacia los clientes. Tendrías que preocuparte si estas en un lugar como Starbucks. Si estas en casa, probablemente no habrá nadie haciéndote un hombre en el medio excepto la NSA. Así que como usuario domestico no necesitas entrar en pánico. Como administrador de servidores, probablemente no tengas que entrar en pánico si tus clientes se conectan desde sus casas, solo si ellos se conectan desde wifi’s de sitios como Starbucks.
Rob Graham, CEO de Erratasec.
Según Graham, la prioridad para resolver este fallo es mínima, ya que los servidores no pueden ser hackeados, y las personas con clientes vulnerables tampoco a menos que estén en un sitio publico.
Como recomendación final, aunque tu navegador este actualizado y soporte TLS, no te confíes en los sitios públicos, ya que existen manera de engañar al navegador y forzarlo a usar SSL y así explotar la vulnerabilidad.
Fuente: Wired
