Ho cercato di attenuare POODLE dal lato client nella mia organizzazione. Ho disabilitato SSL3 nella maggior parte dei browser ma non ho potuto disabilitarlo in Safari. Apple ha rilasciato un aggiornamento di sicurezza 2014-005, che, secondo Apple, si rivolge a POODLE.
Tuttavia, Safari è ancora vulnerabile a POODLE in base a vari siti di test SSL.
Voglio solo disabilitare SSL3 in Mac (Safari). C'è un modo?
L'aggiornamento per la sicurezza di Apple non disabilita SSLv3, ma disabilita il "cipher block chaining", che è il fulcro dell'exploit di POODLE, spiegato da CISCO:
"The vulnerability is due to improper block cipher padding implemented in TLSv1 when using Cipher Block Chaining (CBC) mode. An attacker could exploit the vulnerability to perform an "oracle padding" side channel attack on the cryptographic message. "
Quindi i tester POODLE stanno cercando SSLv3, che è un modo per mitigare POODLE, ma disabilitare la modalità CBC è anche un ottimo modo per proteggersi.
Per rispondere al cuore della tua domanda, no, non hai il controllo sulle suite di crittografia utilizzate in Safari. Ma APPLE-SA ha risolto la vulnerabilità di POODLE.