SSL bug persiste en IE o Safari

SSL bug persiste en IE o Safari
1 de octubre, 2009

Nueve semanas después que un hacker demostrara en la conferencia de seguridad Black Hat una vulnerabilidad que afecta al protocolo de cifrado SSL (Secure Sockets Layer), el más usado en aplicaciones de comercio electrónico, multitud de sitios y aplicaciones siguen siendo susceptibles de ataques ya que Microsoft no ha corregido el error de la librería CryptoAPI donde reside la vulnerabilidad. Entre ellos los navegadores web que utilizan la API como Internet Explorer, Google Chrome o Apple Safari.

Según el investigador Moxie Marlinspike que presentó la vulnerabilidad en la conferencia de seguridad Black Hat, se puede aprovechar la misma para poner en peligro el tráfico seguro que viaja entre los sitios web y los navegadores, consiguiendo robar las contraseñas o secuestrando las sesiones bancarias on-line.

La interceptación del tráfico SSL entre el servidor y el cliente se consigue mediante un certificado de terminación nula con un tipo de ataque denominado SSL Strip que utiliza una técnica conocida como “man-in-the-middle”, (hombre en el medio) que es indetectable según el experto. El ataque intercepta la solicitud para certificaciones seguras y en vez de devolver una página protegida HTTPS envía una página HTTP la cual es vulnerable a cualquier tipo de ataque externo.

El fallo se extiende a navegadores, software de redes privadas virtuales, clientes de correo electrónico o software de mensajería instantánea. Básicamente según indican desde The Register, a todo el software basado en la interfaz de programación de aplicaciones CryptoAPI como Internet Explorer, Google Chrome o Apple Safari. Mozilla fue el único que a los pocos días de aparecer el bug parcheó la vulnerabilidad, aunque Microsoft tiene más tarea para reescribir el núcleo de la librería, seguramente ante la gran cantidad de aplicaciones que de ella dependen. Mientras tanto, las conexiones que deberían ser seguras mediante la autenticación y privacidad que proporciona el protocolo SSL, sigue siendo vulnerable.

  • Share This