十月份的POODLE攻击对SSLv3 中CBC加密模式的密文族造成影响,原因是SSLv3的CBC填充字节内容不规范且未受保护。由于SSLv3并没有规定填充字节应当是什么样子,因此执行时并不能对它们进行检查,这样SSLv3容易受到POODLE漏洞的攻击。
针对这个问题,我们开始使用充分规定了填充字节内容的TLS来阻止攻击。然而,由于TLS填充的是SSLv3填充的子集,因此从严格意义上来讲,你可以在TLS中使用SSLv3的解码功能,这样的话SSLv3会继续发生作用。填充字节不会被检查而且在正常运行中不会产生任何问题。然而,如果在TLS中使用SSLv3的解码功能,会引发POODLE攻击,甚至TLS连接也会遭到攻击。也就是说,一些执行并不会对正确的填充进行验证,而不正确的填充会趁机混入(像在SSLv3中那样)引发POODLE问题。
不过,到目前为止尚未发现对POODLE漏洞大规模的利用。另外据悉,卡巴斯基执行受保护主机代理的网络安全产品依然支持SSLv3,这可能导致连接被降级到SSLv3,尽管用户的浏览器已经不再支持SSLv3。