image

Safari ondersteunt nog steeds SSL3.0 ondanks Apple-update

dinsdag 16 december 2014, 14:02 door Redactie, 3 reacties

Op 8 november bracht Apple een update uit om Safari-gebruikers tegen het POODLE-lek in SSL3.0 te beschermen, maar de browser ondersteunt nog steeds het verouderde encryptieprotocol. De kwetsbaarheid in SSL 3.0 zorgt ervoor dat een aanvaller die zich tussen een gebruiker en het internet weet te plaatsen, bijvoorbeeld bij een open wifi-netwerk, informatie uit versleutelde verbindingen kan stelen.

Om de aanval uit te voeren moet de aanvaller de browser van het doelwit op SSL3.0 terug laten vallen. Security Update 2014-005 voor Mac OS X Mountain Lion 10.8.5 en Mavericks 10.9.5 zou dit probleem verhelpen door SSL3.0 met "CBC cipher suites" uit te schakelen als een verbinding via TLS mislukt. Het Internet Storm Center meldt nu dat het met de laatste versie van Safari (8.0.2) nog steeds mogelijk is om via SSL3.0 verbinding te maken.

"Hoe serieus het is? De kans op een POODLE-aanval is nog steeds klein", zegt Johannes Ullrich van het ISC. Hij zegt niet van actieve aanvallen af te weten. "Maar leveranciers als Apple helpen niet met onvolledige verklaringen. Het is mogelijk dat Safari een vorm van downgradingbescherming doet, maar dit wordt niet in de zeer korte advisory uitgelegd."

Reacties (3)
16-12-2014, 14:34 door Anoniem
Safari gebruik ik niet maar FireFox. En dit is weer zo'n voorbeeld van de aanpassingsmogelijkheden die veel toegankelijker zijn in FireFox als je overweg kunt maar dan vooral ook weet wat je doet in :config in FireFox.
Ik moet het thuis even precies nazoeken! maar in FireFox was het niet meer dan in :config de security TLS version op false zetten o.i.d. en SSL-3 werd niet meer ondersteund.
16-12-2014, 16:53 door [Account Verwijderd] - Bijgewerkt: 16-12-2014, 16:55
[Verwijderd]
16-12-2014, 17:23 door Anoniem
Is toch niet erg voor de mensen die Safari gebruiken?,want die poodle bug is toch al in Yosemite bijgwerkt?.
Ssl 3 is dan toch weer wat veiliger?.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.