Conecta con nosotros

Noticias

Se corrige en Firefox un error de HTTPS causado por el «cifrado oportunista»

Publicado

el

Firefox

Mozilla ha tenido que corregir un grave fallo de seguridad en Firefox que permitía a sitios web malicioso saltarse las protecciones de HTTPS.

El fallo fue introducido de forma fortuita en Firefox 37, que fue lanzado la semana pasada e introdujo una nueva característica que permitía el cifrado de conexiones web aun cuando el servidor no hiciese uso de HTTPS. Esta característica de “cifrado oportunista”, que carece de algunas protecciones importantes del protocolo TLS, fue aclamado como un paso importante para conseguir conexiones cifradas de extremo a extremo.

Sin embargo los desarrolladores han decidido inhabilitar el “cifrado oportunista” en Firefox 37.0.1, que ya ha sido lanzado, debido a que presentó un error bastante importante, y es que dio una vía fácil a los hackers para presentar certificados TLS falsos que no eran detectados por el navegador, y que podían ser activados a través de un sitio web malicioso que incorporase una cabecera Alt-Svc en las respuestas enviadas a la víctima.

Mozilla ha publicado la vulnerabilidad en una publicación en su sitio web, mientras que el blog Sophos Naked Security ha dado una completa descripción sobre el problema que se ha presentado.

Fuente | ArsTechnica

Apasionado del software en general y de Linux en particular. El Open Source, la multiplataforma y la seguridad son mis especialidades.

Lo más leído