Vulnerabilidad grave en SSL/TLS 1.0

Se ha descubierto una vulnerabilidad grave en el protocolo SSL (Secure Sockets Layer) en la versión 1.0 y anteriores de TLS (Transport Layer Security).

La vulnerabilidad descubierta permitiría a un atacante descifrar los datos que se pasan entre un servidor Web y el navegador del usuario. Lo realmente grave del asunto es que aunque las versiones posteriores 1.1 y 1.2 de TLS no son vulnerables la mayoría de los navegadores y sitios Web no las soportan, por lo que portales como Paypal, Gmail y otros muchos que usan la versión 1.0 o anteriores son vulnerables.

En Buenos Aires tendrá lugar la conferencia de seguridad ekoparty, donde los investigadores Duong y Juliano Rizzo realizarán una demostración con un exploit al que han bautizado como BEAST (Browser Exploit Against SSL/TLS) que emplea Javascript y un sniffer de red para descifrar las cookies y acceder a cuentas restringidas de usuario. En la demostración se usará una cookie de autenticación de Paypal.

Sin duda un asunto muy grave. Google ya ha realizado una actualización en la versión de desarrollo de Chrome con el fin de acotar este problema. Veremos cómo van reaccionando el resto de afectados.

Vía: The Register

 

Compartir en Google Plus

Acerca de Jorge Autor

  • WordPress Comentarios
  • Facebook Comentarios