vulnerabilidad de POODLE en Safari

3

He estado tratando de mitigar POODLE en el lado del cliente en mi organización. Deshabilité SSL3 en la mayoría de los navegadores, pero no pude desactivarlo en Safari. Apple lanzó una Actualización de seguridad 2014-005, que, según Apple, aborda POODLE.

Sin embargo, Safari sigue siendo vulnerable a POODLE según varios sitios de prueba de SSL.

Solo quiero desactivar SSL3 en Mac (Safari). ¿Hay alguna manera?

    
pregunta user61520 04.12.2014 - 10:18
fuente

1 respuesta

1

La actualización de seguridad para Apple no deshabilita SSLv3, pero deshabilita el "encadenamiento de bloques de cifrado", que está en el corazón del exploit de POODLE, explicado por CISCO:

  

"La vulnerabilidad se debe a un relleno de cifrado de bloque incorrecto implementado en TLSv1 cuando se usa el modo de Encadenamiento de Bloque de Cifrado (CBC). Un atacante podría aprovechar la vulnerabilidad para realizar un ataque de canal lateral de" relleno de oráculo "en el mensaje criptográfico."

Así que los probadores de POODLE están buscando SSLv3, que es una forma de mitigar POODLE, pero deshabilitar el modo CBC también es una excelente manera de protegerse.

Para responder al corazón de su pregunta, no, no tiene control sobre las suites de cifrado utilizadas en Safari. Pero el APPLE-SA corrigió la vulnerabilidad de POODLE.

    
respondido por el Ohnana 18.03.2015 - 14:27
fuente

Lea otras preguntas en las etiquetas