:::
  • 回上一頁

資安訊息

Google發現SSL 3.0加密協定安全漏洞

  • 點閱:1497
  •  
推到:

 網路公司Google的安全部落格在10/12發布,該公司研究員發現,廣泛使用的 SSL(Secure Sockets Layer) 3.0加密協定存有漏洞。SSL 3.0已有近15年的歷史,雖然SSL 3.0早已被TLS(Transport Layer Security) 1.0、TLS 1.1、TLS 1.2等新加密協定所取代,但是TLS仍會向下相容至SSL 3.0。即便是使用新加密協定的瀏覽器,在連線失敗後還是會嘗試以舊的加密協定版本進行連線,其中就包含SSL 3.0。Google設計了一個名為Padding Oracle On Downgraded Legacy Encryption (POODLE,英譯 “貴賓狗” )的攻擊程式,利用上述的向下相容功能突破了SSL 3.0的密碼安全防護,竊取原本應是加密的Cookies或Tokens。Google戲稱該程式是隻「會咬人的貴賓狗」,外界也因此將該漏洞命名為「貴賓犬」。

Google在公司網頁上表示,該公司所有服務及產品希望能於數月內完全移除對SSL 3.0的支援,以避免相關的問題威脅。Google指出,停止對SSL 3.0支援,就足以減輕問題,不過可能會導致相容性的問題。因此,Google建議業者於短期內先支援TLS_FALLBACK_SCSV,它的功能是防止用戶端以SSL 3.0重試失敗的連線,以避免駭客設計誘導瀏覽器使用SSL 3.0,同時能解決不斷連結失敗所造成的問題。長期應完全停止對SSL 3.0的支援,才能徹底根除問題。

雖然Google所發現的SSL 3.0漏洞問題看起來很嚴重,但使用者可藉由升級至新版瀏覽器,就能迅速解決這個問題。Google也建議還在使用SSL 3.0加密協定的公司企業,儘速升級至新的TLS加密協定。專家預期,Mozilla (Firefox)、Microsoft (Internet Explorer)及Apple (Safari)都將推出其瀏覽器的更新版,以支援TLS_FALLBACK_SCSV,並追隨Google於未來完全放棄支援SSL 3.0。

資料來源:  國家資通安全會報技術服務中心