Op 8 november bracht Apple een update uit om Safari-gebruikers tegen het POODLE-lek in SSL3.0 te beschermen, maar de browser ondersteunt nog steeds het verouderde encryptieprotocol. De kwetsbaarheid in SSL 3.0 zorgt ervoor dat een aanvaller die zich tussen een gebruiker en het internet weet te plaatsen, bijvoorbeeld bij een open wifi-netwerk, informatie uit versleutelde verbindingen kan stelen.

Om de aanval uit te voeren moet de aanvaller de browser van het doelwit op SSL3.0 terug laten vallen. Security Update 2014-005 voor Mac OS X Mountain Lion 10.8.5 en Mavericks 10.9.5 zou dit probleem verhelpen door SSL3.0 met "CBC cipher suites" uit te schakelen als een verbinding via TLS mislukt. Het Internet Storm Center meldt nu dat het met de laatste versie van Safari (8.0.2) nog steeds mogelijk is om via SSL3.0 verbinding te maken.

"Hoe serieus het is? De kans op een POODLE-aanval is nog steeds klein", zegt Johannes Ullrich van het ISC. Hij zegt niet van actieve aanvallen af te weten. "Maar leveranciers als Apple helpen niet met onvolledige verklaringen. Het is mogelijk dat Safari een vorm van downgradingbescherming doet, maar dit wordt niet in de zeer korte advisory uitgelegd."