Drie onderzoekers van Google hebben een nieuwe kwetsbaarheid in de veelgebruikte SSL-encryptie onthuld. Door de kwetsbaarheid te misbruiken is het voor een buitenstaander mogelijk om SSL-encryptie te omzeilen. Het lek wordt Poodlebleed gedoopt.

Dankzij Poodlebleed wordt het mogelijk om SSL-beveiliging te omzeilen, maar het lijkt erop dat deze bug minder ernstig is dan de veelbesproken Heartbleed-bug in OpenSSL. Middels SSL wordt internetverkeer normaliter van zender naar ontvanger versleuteld, maar als de verbinding gekraakt wordt kan de data alsnog uitgelezen of zelfs aangepast worden.

Poodlebleed is aanwezig in SSL 3.0, een protocol dat inmiddels al 15 jaar geleden werd opgevolgd, maar nog steeds breed ondersteund wordt ter bevordering van de compatibiliteit. Onder de juiste omstandigheden is het mogelijk om een verbinding via het verouderde protocol te forceren, dat kan bijvoorbeeld door op afstand fouten te veroorzaken bij het gebruik van nieuwere versies van SSL. Daardoor wordt teruggevallen op een oudere versie van het protocol, zoals SSL 3.0. Vanaf dat moment is de kwetsbaarheid te misbruiken.

Google’s onderzoekers raden aan om ondersteuning voor SSL 3.0 stop te zetten, waardoor Poodlebleed onmogelijk wordt gemaakt. Door Google’s publicatie zal achter de schermen een wapenwedloop afgetrapt worden. Beveiligingsmedewerkers moeten hun systemen zo snel mogelijk beveiligen tegen Poodlebleed, terwijl hackers zullen proberen om ze voor te zijn.