La vulnerabilidad, las claves de exportación Factoring RSA (también conocido como el ataque FREAK), se encontró en SSL / TLS-protocolo destinado a proporcionar conexiones Web seguras.
Según el equipo miTLS, integrado por Inria (una organización de investigación en París) y Microsoft Research, la vulnerabilidad se introdujo por agencias del gobierno de Estados Unidos que prohibían algoritmos de cifrado fuerte de la exportación con el fin de garantizar que podían descifrar comunicaciones extranjeras. Aunque la prohibición fue levantada en los años 1990, los algoritmos de cifrado más débiles ya hicieron su camino en software y de regreso a Estados Unidos.
"El apoyo a estos algoritmos débiles se ha mantenido en muchas implementaciones como OpenSSL, a pesar de que están deshabilitadas normalmente por defecto", escribieron los investigadores en su página web. "Sin embargo, hemos descubierto que varias implementaciones incorrectamente permiten la secuencia de mensajes de conjuntos de cifrado de exportación para ser utilizado incluso si un conjunto de cifrado no exportador se negoció".
Los investigadores añadieron que el ataque FREAK podría permitir a un hacker para forzar un navegador con el débil conjunto de cifrado exportación a utilizar más débiles claves de exportación que pueda ser descifrado o alterados.
"Irónicamente, muchas agencias del gobierno de Estados Unidos (incluyendo la NSA y el FBI), así como una serie de sitios web populares (IBM o Symantec) permiten suites exportación cifrado en su servidor", escribieron los investigadores.
Los afectados por el defecto incluyen los usuarios de versiones pre-1.0.1k de OpenSSL, navegador de Android, Safari, varios sistemas embebidos y compañías de software que utilizan TLS sin desactivar el débil conjunto de cifrado de exportación en sus productos de software.
Es poco probable que los usuarios de Chrome o Firefox se ven afectados por la vulnerabilidad, según los investigadores. Apple ya está trabajando en la implementación de un parche para Safari. Los investigadores recomendaron que los usuarios actualicen los usuarios de Android del navegador Chrome 41 inmediatamente.
0 comentarios:
Publicar un comentario