Poodle se convierte en una amenaza para la red, se recomienda desactivar SSL3 del navegador.

Hace tan sólo 2 días Google reveló una nueva vulnerabilidad que afecta a la mayoría de las comunicaciones en Internet y que a pesar de tener un bonito nombre oculta efectos potencialmente desastrosos. POODLE (Padding Oracle On Downgraded Legacy Encryption) permite a un atacante romper la seguridad de SSL 3.0 (protocolo usado mundialmente para comunicaciones seguras pero que tiene más de 14 años). Este protocolo aún se utiliza como método de conexión en muchas conexiones seguras (incluídas bancos) cuando los protocolos más nuevos no parecen negociar bien la conexión, en tal caso los navegadores cambian a SSL 3.0 (también conocido como SSLv3). Debido a este bug un atacante puede provocar errores en la conexión con nuevos protocolos a fin de que el navegador cambie a SSL 3.0  y por lo tanto comenzarían a usar este viejo protocolo y ahora demostrado que es completamente ineficaz. Los investigadores concluyen que “para lograr un cifrado seguro, SSL 3.0 debe evitarse por completo.”

Al igual que con Heartbleed y Shellshock, hay millones de usuarios finales que no pueden hacer nada al respecto. No obstante las compañías de todo el mundo están luchando para publicar parches para sus servidores y dispositivos embebidos para que estos no usen bajo ningún concepto el protocolo SSL 3.0. Google descubrió la vulnerabilidad hace un mes (en septiembre), y, como se hace comúnmente con tales cuestiones generalizadas, primero se alertó a los desarrolladores de software y hardware previa publicación al resto del mundo.

Si bien la mayoría de navegadores actuales están preparados para usar TLS y es el protocolo preferido por defecto, desde Centrologic os recomendamos preventivamente deshabilitar SSL3 del navegador y también activar TLS_FALLBACK_SCSV lo que mitigaría la parte del downgrade.

Para más información sobre cómo desabilitar SSL3:

• POODLE.IO (en Inglés – Original)
• POODLE.IO (en Español – Google Translator)

Fuente: NBC News