路透波士顿10月14日(记者 Jim Finkle) - 三名谷歌(GOOGL.O: 行情)研究人员在广泛使用的网络加密技术中发现了一个安全漏洞,他们称其为“Poodle”,黑客可以使用该漏洞控制邮件、银行和其他服务的账户。
“Poodle”全称为Padding Oracle On Downloaded Legacy Encryption,引发网络浏览器和服务器软件生产商周二建议用户禁用安全漏洞源头SSL 3.0加密标准,该标准已有18年的历史。
这是研究人员今年第三次在广泛使用的网络技术中发现漏洞,4月在OpenSSL中发现“Heartbleed”漏洞(即“心脏出血”漏洞),上个月在Unix软件Bash中发现“Shellshock”漏洞(即“破壳”漏洞)。
安全专家称,黑客通过“Poodle”攻击可盗取浏览器中的“cookie”信息,可能控制电子邮件、银行和社交媒体账户。尽管存在这种威胁,专家们指出,威胁仍没有前两个漏洞那么大。
“如果Shellshock和Heartbleed的威胁等级为10,Poodle更像是5或6,”云安全公司Adallom副总裁Tal Klein指出。
安全管理公司Qualys的应用安全研究总监Ivan Ristic表示,“Poodle”的威胁没有之前的漏洞那么大,因为“Poodle”攻击“非常复杂”,需要黑客拥有网络访问特权。(完)