Vulnerabilidad en los servicios de seguridad de Chrome y Firefox

Brecha de Seguridad

Una vulnerabilidad recién descubierta por el equipo de Intel Security permitiría a un atacante crear una pagina WEB fraudulenta que puede suplantar a un sitio legítimo.

Un fallo en la biblioteca criptográfica de Servicios de Seguridad de Red (Network Security Services) de Mozilla fue descubierta recientemente por el equipo de Investigación de Amenazas avanzadas de Intel Security y permitiría a un atacante crear una firma RSA sin necesidad de conocer la clave privada, lo que permitiría  violentar la autenticación de los sitios que usan TLS y SSL, interceptando las comunicaciones entre el cliente y la pagina legítima, pudiendo tener acceso a los datos cifrados.

Por ejemplo, un atacante podría crear una firma RSA para suplantar la autenticación entre un cliente y el banco y escuchar en la red por el trafico. Este trafico esta cifrado con SSL, lo cual mantiene segura la comunicación, pero en este escenario, el atacante tiene la llave de encriptación y podría recibir el mensaje para descifrarlo e inclusive manipularlo en transito, comprometiéndose de este modo tanto la confidencialidad como la integridad de los datos.

La vulnerabilidad fue llamada BERserk, debido al elemento que permite su explotación, el cual es un incorrecto análisis de ciertas secuencias de reglas de codificación básica (BER, por sus siglas en ingles) en las firmas RSA.

Mozilla y Google se pronunciaron y liberaron una actualización que corrige este fallo, por lo cual es muy importante actualizar inmediatamente el navegador y no realizar ninguna transacción en linea que involucre datos sensibles hasta tanto esto no se haya realizado.

Fuente: Fayerwayer

Quizás te interese:   Nuevo chip usa luz para almacenar datos de forma permanente

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.