 |
Новая уязвимость Poodle используется для перехвата конфиденциальных данных пользователей
Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решения для защиты веб-приложений от хакерских атак, сообщают о возникновении новой угрозы, связанной с обнаружением критической уязвимости Poodle, которая позволяет злоумышленникам считывать пользовательские данные, передаваемые с использованием протокола SSL 3.0.
Уязвимость Poodle дает возможность хакерам, перехватывая трафик, расшифровывать запросы пользователей и получать доступ к конфиденциальной информации, например, к паролям, данным запроса, файлам Cookies, в которых содержатся личные данные клиентов, и пр. Критическая уязвимость (CVE-2014-3566) была обнаружена не в отдельной реализации SSL 3.0, а в самой спецификации протокола. Уязвимыми являются все реализации SSL 3.0, от свободной OpenSSL до коммерческих библиотек, поставляемых по умолчанию с распространёнными операционными системами.
Даже в случае, если сервер использует протокол TLS наряду с SSL 3.0, он всё равно остаётся уязвимым, поскольку атакующий может определённым образом спровоцировать принудительное применение SSL 3.0.
Опасность для пользователей состоит в раскрытии конфиденциальных данных, поскольку злоумышленник может получить доступ к их аккаунтам на сервере, поддерживающем протокол шифрования SSL 3.0. Авторизация в протоколе HTTP основана на передаче секретных токенов от пользователя к серверу. Злоумышленник, контролирующий промежуточный трафик (например, точку доступа WiFi), используя уязвимость Poodle, может частично расшифровывать SSL3-трафик, получая доступ к авторизационным данным.
«В очередной раз мы видим, что ошибки бывают не только в реализациях протоколов шифрования, но и в их спецификациях, даже написанных лучшими в мире специалистами. К этому всегда нужно быть готовым и своевременно реагировать на возникающие угрозы. Мы опробовали отключение SSLv3 и не зарегистрировали проблем с доступностью у легитимных пользователей. С завтрашнего дня мы прекращаем поддержку SSLv3 по умолчанию, оставляя только современные безопасные протоколы TLS», — комментирует Александр Лямин, руководитель Qrator Labs.
Более совершенный стандарт TLS не подвержен этой уязвимости, поэтому системным администраторам и конечным пользователям рекомендуется отключить поддержку SSL 3.0, поскольку, не сделав этого, невозможно сохранить приватность данных. Все современные операционные системы также поддерживают TLS, поэтому отключение SSL 3.0 не повлечёт за собой существенных проблем в работе.
«Уязвимость Poodle открывает для злоумышленника еще одну возможность расшифровать данные, которые передаются между сервером и клиентом по SSL. Это, безусловно, серьезная уязвимость, но она не идет ни в какое сравнения по опасности с нашумевшим Heartbleed, когда брешь позволяла читать оперативную память с удаленного сервера», — говорит Иван Новиков, генеральный директор Wallarm.
О Qrator Labs
Qrator Labs (лабораторный кластер компании HLL) основан в 2009 году. Компания предоставляет услуги противодействия DDoS-атакам и является признанным экспертом в этой области. В 2010 году компания запустила сеть фильтрации трафика Qrator, как технологическую основу коммерческого сервиса для защиты сайтов от подобных угроз. Алгоритмы и технологии, которые используются для противодействия атакам на сайты клиентов, являются know-how компании. Команда Qrator Labs занимается исследовательской деятельностью в области защиты от DDoS, начиная c 2006 года, и постоянно совершенствует алгоритмы, технологии и приемы противодействия DDoS-атакам.
Первыми клиентами Qrator Labs стали web-сервисы, испытывающие высокие нагрузки, – портал Хабрахабр и рекламная сеть Блогун. На сегодняшний день сервисом пользуются многие крупные компании из различных отраслей, такие как ведущие СМИ (газета «Ведомости», радиостанция «Эхо Москвы», газета «Известия», телеканалы «Дождь», ТНТ-Телесеть), банки (банк «Тинькофф Кредитные Системы», Связной Банк, ЮниКредит Банк, Сбербанк Украина), сайты электронной коммерции (Lamoda, Юлмарт, Enter, Эльдорадо, Groupon, Biglion) и другие.
О компании Wallarm
Компания Wallarm разрабатывает продукты, совмещающие в себе функции защиты веб-приложений от хакерских атак и поиска уязвимостей. Решение широко востребовано компаниями, имеющими высоконагруженные веб-приложения и работающими на рынках электронной коммерции и онлайн-платежей, SaaS/PaaS, Big Data, электронных СМИ и персональных коммуникаций.
Компания работает в сфере защиты данных с 2009 г., осуществляя аудит информационной безопасности для ряда крупных интернет-компаний в России, США и Европе. В 2013 году Wallarm получила инвестиции от венчурного фонда Runa Capital. А в 2014 году в качестве директора по развитию, к команде присоединился Степан Ильин, ранее главный редактор и издатель журнала "Хакер".
Контакты для прессы
Ирина Гусева
Пресс-секретарь Qrator Labs
+7(909)936-98-42
press@highloadlab.com
Пресс-служба Wallarm
mob: 8 926 307 15 55
media@wallarm.com
Контактное лицо: Ирина Гусева (написать письмо автору)
Компания: Qrator Labs (все новости этой организации)
Добавлен: 07:42, 18.10.2014
Количество просмотров: 738
Страна: Россия
| На электросудах расскажут об искусственном интеллекте, MWS AI, 22:42, 15.06.2026, Россия |
96 |
| ГКУ «Организатор перевозок» (Департамент транспорта Москвы) и MWS AI (входит в МТС Web Services) вместе с Центром непрерывного образования факультета компьютерных наук НИУ ВШЭ запускают лектории и интенсивы по генеративному ИИ на речных электросудах. |
 |
| Web3 Tech: России нужна собственная институциональная Web3-инфраструктура, Web3 Tech, 22:41, 15.06.2026, Россия |
109 |
| В Web3 Tech назвали тренды институционального рынка web3. По мнению экспертов компании, глобальный финтех переходит в новую фазу, при которой стейблкоины, системное регулирование и ИИ-агенты сливаются в единый контур агентной экономики на цифровых активах с потенциалом $30 трлн к 2030 году. |
 |
| Dialog Composer 3.0 от BSS: переход от скриптовых ботов к самостоятельным ИИ-агентам, BSS, 22:39, 15.06.2026, Россия |
105 |
| Компания BSS дает мощный толчок развитию диалоговых интерфейсов с новой версией Dialog Composer 3.0. Ключевой особенностью релиза стала нативная поддержка архитектуры ИИ-агентов на базе больших языковых моделей (LLM). Обновленный no-code инструмент позволяет компаниям быстро внедрять автономных ИИ-ассистентов, существенно снижая нагрузку на контактные центры и операционные службы. |
|
| Modus BI и Modus ETL получили номинации за максимальный self-service в исследовании «Круг Громова 2026», Modus, 22:34, 15.06.2026, |
106 |
| Компания Modus объявляет о признании своих продуктов лидерами в номинациях независимого исследования российского рынка аналитических решений «Self-service круг Громова 2026». Modus BI получил номинацию «Максимальные возможности в self-service», а Modus ETL — «Self-service для enterprise». Оба решения показали наибольшее количество поддерживаемых self-service критериев среди всех участников исследования. |
|
|
|
