Falla en los navegadores expone a los usuarios a ataques 'Hombre en el medio'

Investigadores de seguridad de Microsoft encontraron una forma de romper con las garantías de seguridad de extremo-a-extremo de HTTPS sin quebrar ningún esquema criptográfico.

Durante un proyecto de investigación (.pdf) concluido a comienzos de este año, el equipo de Microsoft Research descubrió un conjunto de vulnerabilidades explotable mediante un proxy malicioso que apunte a los módulos de interpretación de los navegadores por encima de la capa HTTP/HTTPS.

Aquí está la esencia del problema, como es explicada por el equipo de investigación:

[En] muchos entornos realistas de red donde los atacantes pueden husmear el tráfico del navegador, se pueden robar información sensible de un servidor HTTPS, falsificar una página HTTPS e impersonar un usuario auténtico para acceder a un servidor HTTPS. Estas vulnerabilidades reflejan los descuidos en el diseño de los navegadores modernos - afectan a los principales navegadores y a un gran número de sitios web.

Según un boletín de SecurityFocus, un código HTML y código de script suministrados por un atacante, podrían correr en el contexto del navegador afectado, permitiendo potencialmente al atacante robar las credenciales de autenticación basadas en cookie o controlar como los sitios son presentados al usuario. Otros ataques también son posibles.

Los navegadores afectados incluyen Internet Explorer 8 de Microsoft, Mozilla Firefox, Google Chrome, Apple Safari y Opera.

Originalmente, se creía que este problema afectaba sólo a los navegadores Mozilla, pero el boletín fue actualizado para reflejar que el problema afecta a multiples navegadores, no sólo a los productos Mozilla.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blog Zero Day ZDNet

Suscríbete a nuestro Boletín