Ecco PoodleBleed, il nuovo pericolo del web: cosa può fare il bug denunciato da Google?

Si chiama PoodleBleed ed è la nuova vulnerabilità scoperta da tre ricercatori di Google che colpisce il protocollo SSL 3.0. Nonostante quest'ultimo sia ormai obsoleto, non possiamo dormire sonni tranquilli: ecco perché.

di Daniele Sforza, pubblicato il
Si chiama PoodleBleed ed è la nuova vulnerabilità scoperta da tre ricercatori di Google che colpisce il protocollo SSL 3.0. Nonostante quest'ultimo sia ormai obsoleto, non possiamo dormire sonni tranquilli: ecco perché.

Non è pericoloso quanto Heartbleed, ma PoodleBleed ha diversi punti in comune con il bug che minacciò (e minaccia ancora?) la rete la cui notizia si diffuse alcuni mesi fa. Il nuovo bug lavora sul protocollo SSL 3.0, vecchio ormai quindici anni, ma ciò non significa che potrebbero verificarsi problemi legati alla sicurezza. Poodle, che significa “barboncino”, in gergo tecnico è un acronimo che sta per Padding Oracle On Downgraded Legacy Encryption: nulla di rassicurante se state cercando di capire cosa significa. Andiamo a scoprire cos’è PoodleBleed e come funziona.   TI POTREBBE INTERESSARE Cos’è Shellshock e perché è peggio di Heartbleed (ma Windows è al sicuro)  

Cos’è PoodleBleed e come funziona

Scoperto da 3 ricercatori Google, PoodleBleed interessa i protocolli SSL: come saprete, questi ultimi proteggono i dati che sono in transito tra un utente e un sito web e la sua compromissione potrebbe minacciare la sicurezza dei dati sensibili degli utenti.   Nonostante il suo livello di pericolo, PoodleBleed non ha effetti devastanti come quelli di Heartbleed. Tale vulnerabilità, tuttavia, consentirebbe a un hacker di fungere da intermediario durante il transito dei dati tra un utente e un sito web. Il fatto che SSL 3.0 sia ormai obsoleto, non ci mette però completamente al sicuro, visto che potrebbe essere richiamato nel momento in cui un server fallisce una connessione e prova una nuova riconnessione utilizzando un altro protocollo, come ad esempio SSL 3.0.   Questa vecchia versione di SSL è infatti oggi ancora supportata: la sua riattivazione potrebbe provocare problemi di sicurezza come riportato sopra. A questa vulnerabilità c’è già una soluzione, pubblicata sul sito di Google Online Security che denuncia questo problema, che permetterà ai browser di non passare per SSL 3.0 durante un tentativo di riconnessione.   Insomma, la situazione sembra sotto controllo… almeno per il momento.

Condividi su
flipboard icon
Seguici su
flipboard icon
Argomenti: Sicurezza