Tras Heartbleed y Shellshock llega una nueva grave vulnerabilidad descubierta por el equipo de seguridad informática en Google en el protocolo de comunicacion SSL 3.0; siendo Poodle el nombre asignado.
Aunque en la actualidad en la mayoria de las conexiones seguras de usa TLS (1.2, 1.1 y 1.0), una evolucion del propio SSL 3.0, pensariamos que no habria ningun problema debido a que este protocolo no se usa, el problema reside en el propio navegador.
Para aumentar la compatibilidad, los navegadores actuales usan por defecto el protocolo mas seguro (TLS 1.2), aunque si la conexion segura falla, la intentar realizar de nuevo con un protocolo de comunicación más antiguo y menso seguro. Debido a esto, cualquier atacante puede forzar al navegador a conectarse mediante SSL 3.0 y usar la vulnerabilidad para obtener la informacion que de otra forma iria cifrada, obtener credenciales, suplantacion de la identidad…
La forma mas facil para evitar la vulnerabilidad es no usar SSL 3.0; logico no. Los distintos desarrolladores de los nevagadores web en breve iran lanzando parches o actualizaciones para solventar esta vulnerabilidad; hasta entonces puedes desabilitarlo tu mismo SSL 3.0.
Google Chrome
Con el navegador cerrado, pulsamos el boton derecho sobre le icono del acceso directo a Google Chrome, pinchamos en Propiedades y añadimos en el campo Destino al final -ssl-version-min=tls1.
Mozilla Firefox
En la barra de direcciones escribimos about:config, buscamos la entrada security.tls.version.min y cambiamos el valor a 1
Internet Explorer
En el menu Opciones de internet, accedemos a la pestaña Avanzadas y debemos desmarcar tanto SSL 2.0 como SSL 3.0, dejando marcadas TLS 1.0, TLS 1.1 y TLS 1.2.
Si quieres comprobar si tu navegador es vulnerable a Poodle, haz el test en esta web.
No hay comentarios:
Publicar un comentario