Ένα νέο bug στην τεχνολογία web-encryption εντόπισαν ερευνητές της Google- ωστόσο, όπως αναφέρεται σε δημοσίευμα του BBC, πρόκειται για απειλή αρκετά μικρότερη από το Heartbleed και το Shellshock, που προκάλεσαν πανικό στο Διαδίκτυο νωρίτερα μέσα στο έτος.
Το εν λόγω bug μπορεί να επιτρέψει σε χάκερ να καταλάβουν λογαριασμούς email, e-banking κ.α., και συναντάται σε παλαιό λογισμικό το οποίο εξακολουθεί να χρησιμοποιείται από web browsers και servers.
Όπως δήλωσε στο BBC ο Άλαν Γούντγουορντ, ερευνητής ασφαλείας του University of Surrey, «εάν το Heartbleed και το Shellshock ήταν στο 10, αυτό είναι στο 5».
Λεπτομέρειες για το Poodle (Padding Oracle On Downloaded Legacy Encryption) δημοσιοποιήθηκαν σε έκθεση που συνέταξαν τρεις μηχανικοί της Google (Μπόντο Μόλερ, Τάι Ντουόνγκ, Κριστόφ Κότοβιτς). Το πρόβλημα εντοπίζεται σε ένα στάνταρ κρυπτογράφησης «ηλικίας» περίπου 15 ετών, το SSL 3.0, το οποίο έχει γενικότερα αντικατασταθεί από το TLS (Transport Layer Security).
Όπως σημειώνουν οι τρεις μηχανικοί, παρά την ηλικία του, η υποστήριξή του SSL 3.0 παραμένει διαδεδομένη. «Το σημαντικότερο, σχεδόν όλοι οι browsers το υποστηρίζουν και, για να παρακάμψουν bugs σε HTTPS servers, οι browsers θα ξαναδοκιμάσουν αποτυχημένες συνδέσεις με παλαιότερες εκδόσεις πρωτοκόλλων, περιλαμβανομένου του SSL 3.0. Επειδή ένας επιτιθέμενος μπορεί να προκαλέσει αποτυχίες σύνδεσης, μπορεί έτσι να ενεργοποιήσει τη χρήση του SSL 3.0 και μετά να την εκμεταλλευτεί» σημειώνεται σε σχετικό blog post.
Όπως αναφέρεται στο δημοσίευμα του ΒΒC, η Microsoft συστήνει απενεργοποίηση του SSL 3.0 στα Windows για servers και PC, η Mozilla σχεδιάζει απενεργοποίησή του στην επόμενη έκδοση του Firefox και η Google σκοπεύει να σταματήσει την υποστήριξη για το λογισμικό. Πρακτικά μιλώντας για τον μέσο χρήστη, συστήνεται η χρήση των νεότερων εκδόσεων των browsers.