Fabricantes de browsers anunciam planos anti-POODLE

Os três principais fabricantes de browsers anunciaram como vão lidar com a falha no SSL 3.0. Apple não comenta.

digital key - IDGNSApós investigadores terem revelado o método de ataque “POODLE”, que permite roubar informações criptografadas e cookies de sessão dos browsers, os três principais fabricantes de browsers anunciaram como vão lidar com essa falha no SSL 3.0.

Microsoft, Google e Mozilla disseram aos utilizadores dos seus browsers – Internet Explorer, Chrome e Firefox, respectivamente – como vão lidar com a falha no SSL 3.0, que pode ser explorada usando ataques “man-in-the-middle” para roubar cookies de sessão e assim permitir aos cibercriminosos passarem pelas suas vítimas e entrarem automaticamente em sites para, por exemplo, fazerem compras online, ler e-mails ou transferir ficheiros de serviços de armazenamento em nuvem.

A Mozilla foi a mais concreta nos seus planos. “O SSLv3 será desabilitado por norma no Firefox 34, que será lançado a 25 de Novembro”, disse Richard Barnes, engenheiro de segurança da Mozilla, num blogue da empresa.

A Google, cujos engenheiros publicaram os detalhes do ataque POODLE, não se comprometeu com um cronograma para a desactivação do SSL 3.0 no Chrome, dizendo apenas que, “nos próximos meses, esperamos remover completamente o suporte ao SSL 3.0 dos nossos produtos de clientes”.

Tal como a Google, a Microsoft recusou-se a definir um calendário para a alteração no Windows ao suporte ao SSL 3.0. (O Internet Explorer invoca o código criptográfico no Windows em vez de incorporar a funcionalidade no browser.)

Num boletim de segurança, a Microsoft reconheceu que “todas as versões suportadas do Microsoft Windows implementam este protocolo e são afectadas por esta vulnerabilidade”, sem especificar como vai lidar com o POODLE.

A Apple não disse nada sobre modificar o Safari, uma vez que a sua política é a de não comentar questões de segurança em curso.




Deixe um comentário

O seu email não será publicado