SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ
