Das Verschlüsselungsprotokoll SSL wurde im Jahre 1996 in der Version 3.0 veröffentlicht und gilt schon seit geraumer Zeit als veraltet und unsicher. Dabei kann SSL 3.0 entweder mit der kryptografisch schwachen RC4-Stromverschlüsselung oder im CBC-Modus betrieben werden. Wie Googles Sicherheitsexperten jetzt in ihrem White-Paper beschrieben haben, besteht auch bei der Verwendung der CBC-Blockverschlüsslung die Möglichkeit, dass ein potentieller Angreifer die verschlüsselten Daten dechiffriert und somit an sensible Informationen, wie z.B. Session-Cookies, gelangt. Das Entscheidende ist dabei allerdings nicht unbedingt die Verwundbarkeit von SSL 3.0, sondern viel eher die mit dem Angriff aufgezeigte Gefahr, dass der Einsatz von SSL 3.0 während dem Aufbau einer Verbindungsverschlüsselung unter Umständen erzwungen werden kann. Dies ist vor allem kritisch, da die Unterstützung für SSL 3.0 sowohl client- als auch serverseitig noch sehr groß ist.
Die einfachste Gegenmaßnahme zum Poodle-Angriff ist die ohnehin schon längst überfällige Deaktivierung von SSL 3.0, da der Nachfolger TLS 1.0 bereits seit 15 Jahren standardisiert und somit auch in nahezu allen Clients integriert ist. Ausgenommen sind davon lediglich nicht mehr mit Updates unterstützte und kaum noch genutzte Browser, wie z.B. der Internet Explorer 6. Der Browser-Hersteller Mozilla wird SSL 3.0 in der nächsten Version von Firefox gänzlich deaktivieren.
Sofern sie als Nutzer selbst die Initiative ergreifen und sich vor Poodle-Angriffen schützen möchten, dann können Sie die Anfälligkeit ihres Browsers hier testen und erfahren auch, wie Sie SSL 3.0 in Firefox, Chrome sowie im Intenet Explorer deaktivieren.