近年 SSL 屢屢被揭發各種類型的漏洞,雖然大多都已被堵塞,但不少依然在威脅各界用戶。而今日又有 Google 研究人員向外揭露出一種新的 SSL 漏洞 – 名為「貴婦狗」(POODLE)。
風險遠較 Heartbleed、Shellshock 低
「貴婦」(POODLE) 為由三位 Google 資安人員發現的漏洞名稱縮寫,全名為「Padding Oracle on Downgraded Legacy Encryption」。三位研究人員 Bodo Moller、Thai Duong 與 Krzysztof Kotowicz 於今天將研究報告公開。
據報告內容指,POODLE 將影響 SSLv3 或第三版本 SSL 協議。其主要作用為將於瀏覽器及網頁間的資料,及電郵的客戶端與伺服器端的傳輸加密。
雖然 POODLE 的威脅並不如較早前揭發的 Heartbleed、Shellshock 等嚴重,但黑客依然可透過騎劫傳輸與將資料解密,從而得到用戶各種的網絡帳戶,繼而在沒有密碼的情況下奪取用戶的網絡身份。
但不幸中的大幸是,此漏洞的實現需要各種環境的配合,例如裝置必須運行 Javascript、而欲應用此技術的黑客亦需與目標身處於同一空間中,例如同處於咖啡店中。
亦因為是次漏洞只針對 SSLv3,因此 Google 研究人員指用戶只需要將含有 SSLv3 程式中的相關選項關閉,就可以避免到受此漏洞影響。但對正在使用只支援 SSLv3 裝置或軟件的用戶而言,關閉或會引致連接上的問題。
有見其地域上的局限性,Errata Security 行政總裁 Rob Graham 指此漏洞對家居用戶而言並無太大威脅;而對於伺服器管理員而言,暫時亦無需過份擔心。
他續指,除非用戶的連接點為公共場所的 Wi-Fi 網絡如 Starbucks 等,否則現階段暫未發現有其他重大威脅。
Graham 補充指,現時外界對 POODLE 的警覺性依然低,大概為因此漏洞主要針對用戶,而非伺服器。
Source:WIRED
