Ancora un bug per SSL: dopo Heartbleed e Shellshock è il turno di Poodle
Il settore della sicurezza informatica è in fermento: a poca distanza dalla scoperta dei micidiali Heartbleed e Shellshock, è stato scoperto una nuova e pericolosa falla a carico del protocollo SSL. A scoprire la nuova vulnerabilità sarebbero stati tre esperti di sicurezza informatica alle dipendenze di Big G, i quali avrebbero battezzato la falla Poodle, storpiatura di Google ed acronimo di Padding Oracle On Downloaded Legacy Encryption.
Stando a quanto dichiarato dagli scopritori della nuova falla - Bodo Moller, Thai Duong e Krzysztof Kotowicz - Poodle sarebbe meno pericoloso di Heartbleed e Shellshock in quanto non sarebbe una minaccia "lato server" ma a carico dei client (browser e client di posta elettronica) e riguarderebbe solo i software che utilizzano ancora il vecchio protocollo SSLv3.
Sfruttando la nuova vulnerabilità scoperta a carico di SSLv3, infatti, dei malintenzionati potrebbero "rubare" le informazioni presenti nei cookie e nei messaggi di posta elettronica degli utenti ed utilizzarle per avere accesso a servizi ed informazioni riservate.
Per poter sfruttare la nuova falla, tuttavia, gli aggressori dovrebbero essere collegati alla stessa Rete della vittima (si pensi, ad esempio, ad un wifi pubblico) mentre non è possibile perpetrare attacchi da remoto, cioè sfruttando la connessione ad Internet. E' da dire, infine, che la maggior parte dei browser più recenti utilizzano di default TLS per le connessioni sicure relegando SSLv3 ad un ruolo sussidiario da utilizzarsi solo in caso di problemi o per esigenze di backup.