Google计划在即将发布的Chrome版本中禁用对SSL 3.0的支持
Google研究人员于10月14日首次公开披露了SSL 3.0协议中一个被称为“ POODLE”的漏洞。尽管Google为服务器提供了一个补丁程序以帮助减轻风险,但对于浏览器供应商而言,对该漏洞最好的长期解决方案之一放弃对SSL 3.0的支持,这正是Google承诺为其Chrome浏览器提供的支持。
POODLE(或在降级的传统加密上填充Oracle)漏洞可能使攻击者能够访问和读取加密的通信。SSL 3.0是一种旧协议,已被较新的TLS 1.2取代,尽管许多浏览器和服务器供应商仍支持SSL 3.0作为回退机制。
在邮件列表中发布,谷歌开发者亚当·兰利写道,对于即将推出的Chrome 39稳定版,SSL 3.0回退将被禁用。
Langley写道:“仅需要SSLv3后备支持错误的HTTPS服务器即可。” “仅正确支持SSLv3的服务器将继续工作(目前),但是某些故障服务器可能会停止工作。”
如果由于SSL 3.0后备删除功能而导致用户访问的服务器或在线应用程序无法正常运行,Chrome浏览器中的锁定图标上方会显示黄色标志。通过禁用后备并显示黄色警告标志,Google使网站所有者有机会在完全放弃SSL 3.0之前更新其网站。目前的计划是让Chrome 40完全禁用SSL 3.0支持。
Google不是唯一采取措施限制POODLE风险的浏览器供应商。即将发布的Mozilla Firefox 34版本也将取消对SSL 3.0的支持。
但是,微软对其Internet Explorer浏览器采取的策略略有不同。现在,Microsoft提供了一个“ 修复它 ” 工具来禁用对SSL 3.0的支持。当小狗是先在10月14日报道,微软在写咨询认为,“考虑到攻击的情况下,该漏洞不被认为是高风险的客户。”
苹果还采取了措施来限制用户接触POODLE。在Mac OS X操作系统中,Apple并未完全阻止SSL 3.0,而是通过安全套接字层(SSL)禁用了CBC或密码块链接,这是POODLE漏洞的根本原因。
尽管POODLE漏洞是在两周前披露的,但迄今为止,尚未公开报告由于该漏洞而进行的任何利用。相反,10月15日在开源Drupal内容管理系统中报告的一个SQL注入漏洞被攻击者在七个小时内利用了。尚未积极利用POODLE的事实可能是由于许多因素,包括SSL 3.0的使用率非常低。Mozilla 在首次公开POODLE时指出,SSL 3.0仅占所有HTTPS连接的0.3%。