Dopo Heartbleed e Shellshock, una nuova falla sta attirando ora l'attenzione: Poodle, che in italiano significa barboncino ma è in realtà un acronimo per Padding Oracle On Downgraded Legaxy Encryption.

Il documento che la illustra, annunciato sul blog di Google dedicato alla sicurezza, spiega che la vulnerabilità è presente nella versione 3.0 del protocollo SSL.

SSL 3.0 è uno standard piuttosto vecchio - ha quasi 18 anni ed è stato soppiantato da TLS - ma è ancora ampiamente supportato: praticamente tutti i browser lo adoperano ancora se, per qualche motivo, non riescono a stabilire una connessione HTTPS usando gli standard più recenti.

Sfruttando Poodle con un attacco man-in-the-middlediventa possibile decifrare i cookie, i quali possono anche contenere informazioni delicate, e adoperare i dati così ottenuti per accedere ai servizi online che ne fanno uso.

Le condizioni che devono verificarsi affinché sia possibile sfruttare Poodle rendono il pericolo un po' meno preoccupante: è infatti necessario che chi tenta l'attacco sia collegato alla medesima rete del bersaglio; l'uso di una rete Wi-Fi pubblica, per esempio, diventa in quest'ottica molto più rischioso di quanto fosse finora.

Secondo Google, per ridurre il rischio la strada è disabilitare sui server il supporto a SSL 3.0, sebbene ciò possa portare a problemi di compatibilità; l'azienda di Mountain View in ogni caso ha annunciato di voler rimuovere il supporto al vecchio standard nei prossimi mesi.

Per evitare i citati problemi di compatibilità, Google consiglia agli amministratori di abilitare TLS_FALLBACK_SCSV, che evita il passaggio a protocolli di sicurezza più vecchi.