无情 @ 2014-10-16 09:28:26 阅读(2850)
SSL 漏洞


Google ((US-GOOG)) 发言人週二指出,公司的研究员发现,广泛使用的 SSL 3.0 网路加密技术出现漏洞。

Google 表示将于几个月内完全停止支援 SSL 3.0,以避免相关的问题威胁。

《CNBC》引述 Google 的安全部落格内容报导指出,SSL 3.0 已有近 15 年的历史,但目前仍被广为使用。

即使是使用较新的协定的浏览器,在连线失败后还是会重试旧的协定版本,包括 SSL 3.0。

Google 在公司网页上表示,未来几个月内,希望能完全移除该公司客户产品中对 SSL 3.0 的支援。

科技资讯网站《Mashable》指出,这不是安全协定 SSL 第一次出问题。

今年稍早,OpenSSL 中就有 Heartbleed 的问题。

根据 Google 指出,这个问题会影响 SSL 3.0。

虽然 SSL 3.0 早已被 TLS 1.0、TLS 1.1、TLS 1.2 所取代,但是这些仍会向下相容至 Open SSL 3.0。

Google 指出,停用 SSL 3.0 支援,就足以减轻问题,但可能会道致相容性的问题。

因此,Google 宣佈支援 TLS_FALLBACK_SCSV,以防止用户端使用 SSL 3.0 再次尝试失败的连线。

虽然 Google 发现的问题看来很严重,但使用者可以升级至新版的浏览器,包括 Chorme、Firefox 和 Opera 等,就可以迅速解决这个问题。

专家预期,Mozilla (Firefox)、Microsoft (Internet Explorer) 及 Apple (Safari) 将推出其浏览器的更新版,以支援 TLS_FALLBACK_SCSV,并追随 Google 完全放弃支援 SSL 3.0。


《路透》报导指出,这个漏洞可让骇客窃取资料,称之为「Poodle attack」(Poodle是指「Padding Oracle On Downloaded Legacy Encryption)。


据称,OpenSSL 软体中的新漏洞最近出现在 Twitter 和科技新闻网站中,迫使企业安全专家准备于本周对重大新威胁作出回应。

今年以来,安全专家已经反应今年 4 月出现的 OpenSSL Heartbleed 漏洞和 9 月的 Shellshock 漏洞。

报导中指出,安全专家认为 Google 的研究人员发现的漏洞严重层级,并没有前两个漏洞来得高。

最新发现的漏洞能够让黑客窃取浏览器 Cookie。

美国约翰霍普金斯大学计算机科学系助理研究教授马修格林 (Matthew Green) 建议,企业和电脑用户在各自伺服器、浏览器中禁用 SSL 3.0 技术。