-->
Portada del sitio » Nacional » Vulnerabilidad descubierta en SSL/TLS1.0. Chrome será (...)

Vulnerabilidad descubierta en SSL/TLS1.0. Chrome será actualizado

Jueves 29 de septiembre de 2011, por Guido Rosales Uriona - GRU


Una importante vulnerabilidad ha sido descubierta en el protocolo SSL (Secure Sockets Layer), que protege la mayoría de los sitios Web. El agujero de seguridad permite a los atacantes descifrar los datos que se pasan entre un servidor Web y el navegador del usuario.

La vulnerabilidad reside en las versiones 1.0 y anteriores de TLS (Transport Layer Security), base de confianza en la seguridad de las conexiones en Internet. Aunque las versiones 1.1 y 1.2 de TLS, no son vulnerables, la mayoría de los navegadores y sitios Web no las soportan. Por este motivo, las transacciones cifradas en portales como PayPal, GMail y otros muchos, son vulnerables al espionaje de los hackers, que pueden controlar la conexión entre el usuario final y el sitio web que está visitando.

En la conferencia de seguridad ekoparty (Buenos Aires), los investigadores Duong y Juliano Rizzo, van a realizar una demostración con un código al que denominan BEAST, abreviatura de Browser Exploit Against SSL/TLS.

BEAST emplea Javascript y un sniffer de red para descifrar las cookies y acceder a cuentas restringidas de usuario. El exploit funciona incluso contra sitios que emplean HSTS (HTTP Strict Transport Security), que impide que las páginas se carguen si no están protegidas por SSL.

En la demostración, va a descifrarse una cookie de autenticación utilizada para acceder a una cuenta de PayPal, según ha manifestado Duong. Según confirma la fuente del artículo, dos días después del anuncio, Google ha realizado una actualización en la versión de desarrollo de Chrome, diseñada para frustrar este ataque.


P.-S.

fuente GENBETA

1 Mensaje

  • Este tipo de vulnerabilidades no sé porque se siguen dando, es decir, parece que son obvias cuando se presentan y pensaba que existía un resquicio de que fuera más autobombo que verdadera falla, sin embargo que Chrome se actualiza te viene a decir que no, que realmente había problemas.

    El resto de navegadores pues a ver como funcionan, pero me preocupa especialmente IE y Safari, ambos son los que vienen por defecto en sus respectivos SO y el problema que tienen es que el de Microsoft es pobre en seguridad mientras que Safari tiene problemas a la hora de actualizarse ya que lo tiene que hhcer con el SO completo.

    Ver en línea : SSL


Ultimos Artículos