|
|
Google (GOOG-US) 發言人週二指出,公司的研究員發現,廣泛使用的 SSL 3.0 網路加密技術出現漏洞。Google 表示將於幾個月內完全停止支援 SSL 3.0,以避免相關的問題威脅。
《CNBC》引述 Google 的安全部落格內容報導指出,SSL 3.0 已有近 15 年的歷史,但目前仍被廣為使用。即使是使用較新的協定的瀏覽器,在連線失敗後還是會重試舊的協定版本,包括 SSL 3.0。
Google 在公司網頁上表示,未來幾個月內,希望能完全移除該公司客戶產品中對 SSL 3.0 的支援。
科技資訊網站《Mashable》指出,這不是安全協定 SSL 第一次出問題。今年稍早,OpenSSL 中就有 Heartbleed 的問題。根據 Google 指出,這個問題會影響 SSL 3.0。雖然 SSL 3.0 早已被 TLS 1.0、TLS 1.1、TLS 1.2 所取代,但是這些仍會向下相容至 Open SSL 3.0。
Google 指出,停用 SSL 3.0 支援,就足以減輕問題,但可能會道致相容性的問題。因此,Google 宣佈支援 TLS_FALLBACK_SCSV,以防止用戶端使用 SSL 3.0 再次嘗試失敗的連線。
雖然 Google 發現的問題看來很嚴重,但使用者可以升級至新版的瀏覽器,包括 Chorme、Firefox 和 Opera 等,就可以迅速解決這個問題。
專家預期,Mozilla (Firefox)、Microsoft (Internet Explorer) 及 Apple (Safari) 將推出其瀏覽器的更新版,以支援 TLS_FALLBACK_SCSV,並追隨 Google 完全放棄支援 SSL 3.0。
《路透》報導指出,這個漏洞可讓駭客竊取資料,稱之為「Poodle attack」(Poodle是指「Padding Oracle On Downloaded Legacy Encryption)。
據稱,OpenSSL 軟體中的新漏洞最近出現在 Twitter 和科技新聞網站中,迫使企業安全專家準備於本周對重大新威脅作出回應。今年以來,安全專家已經反應今年 4 月出現的 OpenSSL Heartbleed 漏洞和 9 月的 Shellshock 漏洞。
報導中指出,安全專家認為 Google 的研究人員發現的漏洞嚴重層級,並沒有前兩個漏洞來得高。最新發現的漏洞能夠讓黑客竊取瀏覽器 Cookie。
美國約翰霍普金斯大學計算機科學系助理研究教授馬修格林 (Matthew Green) 建議,企業和電腦用戶在各自伺服器、瀏覽器中禁用 SSL 3.0 技術。
消息來源: http://news.cnyes.com/Content/20141015/KIYEJGC8F8P3I.shtml
|
|
狗仔卡
發表於 2014-10-16 11:22
提升卡
置頂卡
變色卡