SSLv3 POODLE漏洞,中華數位產品皆不受影響
2014年10月14日,GOOGLE 的安全研究團隊發布了編號CVE-2014-3566,SSLv3 POODLE (Padding Oracle On Downgraded Legacy Encryption) 的漏洞。這個漏洞可讓透過免費WiFi以及安全性較低的路由器使用者,在使用瀏覽器上網時,遭受到中間人劫持、篡改與網站之間傳輸的敏感資料,或藉機植入惡意代碼。
這個漏洞要發動需具備三個條件:瀏覽器及瀏覽的網站需支援SSLv3,並在此漏洞的影響範圍;瀏覽器可執行Javascript;使用不安全或免費的Wifi、網路服務。因此,要防範此漏洞的危害,除了應避免使用不安全或免費的任何網路服務外,建議您關閉瀏覽器對SSLv3的支援;若您是網站的維護者,也應注意使是否支援SSLv3,並確認網站伺服器是否受此漏洞影響。
個人端如何關閉瀏覽器對SSLv3的支援?以Windows作業系統為例,您可至控制台 →網路和網際網路 → 網際網路選項 → 進階 → 將SSL 3.0取消,即可取消Internet Explorer對SSLv3的支援;最新下載版的Firefox經測試已無此漏洞問題。
中華數位全系統SQR產品不受此漏洞的影響,請用戶安心。