کمیته رکن چهارم – اسیب پذیری Poodle که در ماه اکتبر توسط مهندسین گوگل در پروتکل SSL 3.0 کشف شده بود به پروتکل TLS نیز گسترش یافت. وبمسترها باید روی سایت خود HTTPS را کنترل کنند.
به گزارش کمیته رکن چهارم به نقل از آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , وبمسترهائی که اسیب پذیری Poodle در پروتکل اس اس ال را اصلاح کرده بودند اکنون باید کنترلهای دیگری نیز انجام دهند چون چندین محقق امنیت انفوورماتیک متوجه شده اند که این اسیب پذیری شامل پرتکل جدید تی ال اس نیز میشود. هکرها از این اسیب پذیری برای اینترسپت ترافیک بین مرورگر و یک سایت اچ تی تی پی اس و خواندن اطلاعات حساس استفاده مینمایند و مثلا میتوانند کوکیهای رمز نگاری شده شناسائی کاربران را به دست اورده و از انها استفاده نمایند.
در ابتدا گمان میشد که این اسیب پذیری فقط شامل پروتکل قدیمی SSL 3.0 که با TLS 1.0, 1.1, 1.2 جایگزین شده میشود.
اما چون اکثر مرورگرها و سرورها هنوز به پشتیبانی از پروتکل SSL 3.0 برای سازگاری ادامه میدادند, احتمال بهره برداری از این اسیب پذیری میرفت و حتی میتوان برای حمله ای TLS را به SSL تغییر داد. ترفندستان به نقل از لوموند انفورماتیک, اما اکنون محققین بسیار امنیت انفورماتیک کشف کرده اند که این اسیب پذیری شامل پروتکل تی ال اس نیز میشود.
Ivan Ristic که ریاست SSL Labs در شرکت امنیتی کوالیس را به عهده دارد میگوید که حدود ده درصد سرورهای پروژه SSL Pulse از طریق TLS در مقابل حملات Poodle اسیب پذیر هستند. این پروژه, نظارت سایتهای HTTPS لیستی از میلیونها سایت پر بازدید که توسط الکسا امار انان منتشر میشود را انجام میدهد.
ادمینیستراتورهای سایتهائی که مایلند سرورهای خود را کنترل کنند میتوانند از این تست که SSL Labs شرکت امنیتی کوالیس در دسترس قرار داده استفاده نمایند. این تست برای یافتن این مشکل بروز رسانی شده است.
منبع : آی تی اس ان
