Google 發現 SSL 3.0 漏洞，小心「貴賓犬」攻擊！

繼Heartbleed與Shellshock漏洞後，Google安全團隊的3名研究人員於本周再度揭露了另一個同樣年代久遠的漏洞，該漏洞存在於15年前推出的SSL 3.0加密協定中，允許駭客攔截並計算出安全傳輸的明文內容。

發現該漏洞的3名研究人員分別是Bodo Möller、Thai Duong與Krzysztof Kotowicz，該團隊指出，SSL（Secure Sockets Layer） 3.0其實是個已被廢棄且不安全的協定，而且多數已被較新的TLS（Transport Layer Security） 1.0、TLS 1.1或TLS所取代，然而，有許多系統在導入TSL時都保留了向下相容的能力，以與仍然採用SSL 3.0的老舊系統互動，目的是為了維持流暢的使用者經驗。

客戶端與伺服器端是透過交握（handshake）機制來磋商彼此所使用的協定版本，通常會選擇一致的最新版本來進行資料的安全傳輸，然而，就算兩端都支援同一個TLS版本，但由於許多客戶端內含協定降級功能以處理伺服器端的互動問題，而使得SSL 3.0的安全等級仍扮演重要的角色。

Google設計了一個名為Padding Oracle On Downgraded Legacy Encryption（POODLE，貴賓狗）的攻擊行動，利用上述的降級功能突破了SSL 3.0的密碼安全防護，因而可用來竊取原本應是加密的cookies或Tokens。Google並戲稱「這是隻會咬人的貴賓狗」，外界也因此將該漏洞命名為「貴賓犬」。

Möller表示，不論是關閉對SSL 3.0的支援或是SSL 3.0中的CBC模式都能有效減輕該漏洞的危害，但卻會造成相容性問題，因此他們建議業者支援TLS_FALLBACK_SCSV，以避免駭客誘導瀏覽器使用SSL 3.0，同時能解決不斷連結失敗所造成的問題。

沒差！不管SSL X.0版有啥超級恐怖安全性漏洞，我們的 insoler.com 網站都絕對安全！完全沒問題！