Google Chrome: megszűnik az SSL 3.0 támogatása
A Google határozott lépésre szánta el magát: a Chrome 40-es verziójától kezdve megszünteti a sérülékeny SSLv3 támogatását. Emiatt lehetnek majd fennakadások.Októberben a Google biztonsági kutatói egy súlyos sebezhetőséget fedeztek fel a még ma is gyakorta használt Secure Sockets Layer (SSL) 3.0-ás verziójában. A biztonsági hiba kihasználásával közbeékelődéses támadások indíthatók, és jogosulatlan adatszerzésre nyílhat lehetőségük a támadóknak. Olyan adatokhoz is hozzáférhetnek, amelyek alapvetően titkosított csatornán közlekednek, azonban a sérülékenység miatt visszafejthetővé válhatnak.
A POODLE néven elhíresült biztonsági probléma az SSL 3.0 eddigi legjelentősebb sérülékenysége, ami a Google szerint korántsem csak a protokoll gyengeségére vezethető vissza. Az SSLv3 ugyanis a 90-es évek közepén született meg, és olyan kriptográfiai eljárásokat támogat, amelyek mára idejét múlttá váltak. Ezért napjainkban a legtöbb HTTPS kapcsolat már a fejlettebb TLS (Transport Layer Security) protokollt használja, azonban mind a webböngészőkben, mind rengeteg webszerveren megmaradt az SSLv3 kompatibilitás. Ennek pedig az a magyarázata, hogy a böngészőfejlesztők nem akarják, hogy a régebbi kiszolgálókról származó webes tartalmak megjelenítése csorbát szenvedjen, míg a webszerverek üzemetetői a régebbi böngészők miatt tartják meg a sebezhető megoldást. Vagyis egy patthelyzet alakult ki, amit a Google most egy ütős lépéssel kíván feloldani.
A Chrome fejlesztőcsapata úgy határozott, hogy a Chrome 40-es verziójától kezdve teljes mértékben megszünteti az SSLv3 támogatást. Ezelőtt azonban még a Chrome 39 kiadásával megpróbálja felmérni, hogy milyen hatása lehet ennek a lépésnek. A 39-es verzió ugyanis nem teszi majd lehetővé azt, hogy - akár támadó trükkök hatására - a böngésző visszalépjen az SSLv3 alapú kommunikációra, amikor a távoli kiszolgálóval TLS alapon is együtt tudna működni.
„A Chrome 40 kapcsán azt tervezzük, hogy teljes mértékben kikapcsoljuk az SSLv3 üzemmódot, de rajta fogjuk tartani a szemünket a kompatibilitási problémákon, amelyek felüthetik a fejüket. A Chrome 39-es kiadásában a lakat ikon felett elhelyezett kis sárga piktogrammal fogjuk jelezni azt, hogy éppen SSLv3 alapú kommunikáció zajlik. Ezeket a weboldalakat (kiszolgálókat) az üzemeltetőknek a Chrome 40 megjelenéséig frissíteniük kell" - nyilatkozta Adam Langley, a Google biztonsági mérnöke. A Chrome 39 már béta fázisban van, és nemsokára elérhetővé válhat a végleges kiadás. A Chrome 40 megjelenése pedig két hónapon belül esedékes.
Nemcsak a Google aggódik
Az SSL Pulse felmérése szerint a világ legnagyobb forgalmú, HTTPS-támogatással rendelkező 150 ezer weboldalának 98 százaléka még lehetővé teszi az SSLv3 alapú adatforgalmat amellett, hogy a TLS kompatibilitást is biztosítja. Ezért nem csoda, hogy már a Microsoft és a Mozilla is lépésekre szánta el magát. A Microsoft egy Fix it eszközt adott ki az SSL 3.0 Internet Explorerben történő kikapcsolásához, míg a Mozilla a november 25-én megjelenő Firefox 34 esetében változtatja meg az alapértelmezett beállításokat, és "iktatja ki" a sebezhető protokoll által jelentett kockázatokat.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.
-
A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.
-
A GitLab újabb biztonsági javításokat adott ki.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.