یک ماه پس از این که سایر توسعه دهندگان مرورگر ها از جمله فایرفاکس و گوگل کروم برنامه های خود برای مقابله با حملات Poodle و آسیب پذیری SSLv3 را اعلام کرد ه اند، بالاخره مایکروسافت نیز گزارش داد برنامه هایی برای غیرفعال کردن پروتکل ضعیف SSLv3 در مروگر اینترنت اکسپلورر و سایر سرویس های برخط این شرکت دارد.
به گزارش پايگاه اخبار امنيتي فن آوري اطلاعات و ارتباطات، آسیب پذیری و ضعف پروتکل SSLv3 مدت های زیادی است که در بستر اینترنت وجود دارد، اما از ابتدای اکتبر با معرفی حملات Poodle که علیه پروتکل SSLv3 توسط محققان گوگل کشف شده بود، همه ی شرکت های نرم افزاری و در صدر آن ها توسعه دهندگان مرورگرها بر آن شدند این پروتکل را غیرفعال نمایند.
در حملات Poodle، مهاجم می تواند با سوء استفاده از ضعف موجود در پروتکل SSLv3 به ترافیک رمزنشده ی کاربر دست رسی پیدا کند.
البته برای این کار لازم است مهاجم در ابتدا ارتباط کاربر را به نحوی تغییر دهد که این ارتباط به صورت اجباری برای رمز نگاری از پروتکل قدیمی SSLv3 استفاده کند، این امر نیز با استفاده از این ویژگی که در صورت شکست یک ارتباط رمزنگاری، کارگزار یا سرویس گیرنده (در این جا مرورگر وب) سعی در ایجاد ارتباط با یک پروتکل قدیمی می کنند، انجام می گیرد. SSLv3
نزدیک به ۱۵ سال پیش توسعه پیدا کرده است و محققان امنیتی مدت ها پیش در مورد آسیب پذیری های این پروتکل هشدار داده بودند، اما حمله ی خاصی برای سوء استفاده از آسیب پذیری های آن معرفی نشده بود.
محققان هشدار داد بودند که باید از نسخه های جدید تری از جمله TLS 1.2 به جای این نسخه ی قدیمی برای رمزنگاری مورد استفاده قرار بگیرد.
اما هنوز بسیاری از وب گاه ها و البته مرورگر از رده خارج شده ی IE6 هنوز از این پروتکل به صورت پیش فرض استفاده می کنند.
اگرچه در مورد خطرات مرورگر اینرتنت اکسپلورر بارها اخباری منتشر شده است و اگر واقع بین باشیم هیچ کاربرِ آشنا به امور امنیت اطلاعات از این مرورگر به صورت دائمی استفاده نمی کند، اما هنوز کاربرانی هستند که در مواقع اضطراری و زمانی که هیچ مرورگر دیگری در دست رس نیست از یک نسخه ی قدیمی IE با آسیب پذیری های فراوان استفاده می کنند و از همین روش راه را برای حملات سایبری علیه ماشین مذکور باز می کنند.
بنابراین باید به روز رسانی و امنیت این مرورگر بسیار جدی گرفته شود و مسئولان امنیتی به خصوص در سازمان ها به روز رسانی های ویندوز را به موقع دریافت و نصب کنند و از نسخه های اصلی این محصول استفاده کنند تا کل شبکه ی یک سازمان تبدیل به یک شبکه ی بدافزاری نشود. برای از کار انداختن SSLv3 به صورت دستی باید وارد تنظیمات مرورگر اینترنت اکسپلورر شوید و از زبانه ی Advanced گزنیه ی استفاده از این پروتکل را از حالت انتخاب خارج کنید.
