Primeiro houve o Heartbleed, então o Shellshock, agora é a vez do Poodle, outra vulnerabilidade séria de segurança em mais um software amplamente utilizado que esteve aí durante anos.

Desta vez, a brecha Poodle –que significa Padding Oracle On Downgraded Legacy Encryption (sigla com jargões tecnológicos que seria algo como "enchimento Oracle em criptografia de sistema legado regredida")– foi encontrada em uma tecnologia de criptografia de 15 anos de idade chamada SSL 3.0 SSL, usada para proteger a navegação em um browser de, por exemplo, espionar conexões públicas de wi-fi.

O bug Poodle permite que hackers "sequestrem" os dados da vítima usados durante uma sessão num browser e façam coisas como invadir e-mail, conta bancária ou cadastro em rede social.

	Stefan Wermuth - 11.jan.13/Reuters
	Clientes usam computadores em rede de cafeteria em Mayfair, no centro de Londres

Três pesquisadores do Google, Bodo Möller, Thai Duong e Krzysztof Kotowicz, divulgaram detalhes de um ataque usando o Poodle em um relatório no mês passado.

Rumores de que o bug havia sido vazado ao longo dos últimos dias, levando a organização do projeto OpenSSL, que desenvolve o mais popular software de criptografia do tipo SSL, a publicar aquele relatório nesta terça (14).

O grupo demandou que desenvolvedores de navegadores de web e de sotware de servidores, assim como empresas de tecnologia, que desabilitassem o suporte ao SSL 3.0.

Poodle é a terceira de grandes falhas em tecnologia de grande alcance neste ano. Em abril, pesquisadores revelaram a Heartbleed, falha que tornava possíveis devassas de dados de servidores, incluindo as chaves para ler conteúdo criptografado. Então, no mês passado, foi descoberta a Shellshock, uma brecha série que abria a possibilidade de hackers controlarem milhões de máquinas ao redor do mundo sem que fossem notados.

Pesquisadores afirmam que o Poodle é menos danoso que o Heartbleed ou o Shellshock. Primeiro porque, dizem, o SSL 3.0 foi largamente substituído por um novo protocolo chamado TLS. E também porque, para um ataque usando o Poodle, estudiosos dizem que a vítima tem de estar ativamente on-line e fisicamente próxima ao hacker –usando a mesma rede de wi-fi pública, por exemplo.

"O Poodle requer uma locação física específica e uma conexão ativa antes de um ataque se tornar viável", disse Karl Sigler, gerente de inteligência em ameaças na empresa Trustwave.

Na terça (14), a Microsoft aconselhou que usuários desabilitassem o SSL 3.0 no Windows para servidores e computadores pessoais.

A Mozilla afirmou que ia remover o SSL 3.0 da sua próxima versão do navegador Firefox, que planeja lançar no dia 25 de novembro, e sugeriu que outros navegadores e sites removessem a função antes disso. Outras empresas, como o Twitter, afirmaram ter tirado o SSL 3.0 de uso e que alguns usuários teriam de atualizar seus navegadores para usar o serviço delas na web.