Falsificación de certificados en teléfonos Windows Phone 7
Se ha descubierto una vulnerabilidad en Windows Phone 7 a la hora de comprobar los certificados X.509 de servidores POP3/IMAP/SMTP a través de SSL. Según los datos proporcionados por un investigador que permanece anónimo, el sistema operativo no valida correctamente los campos CN (Common Name, Nombre/dominio de Entidad) al no verificar si coincide el dominio del servidor con lo reportado por el campo CN del certificado proporcionado.
Windows Phone 7 es el nuevo sistema operativo de Microsoft destinado a terminales móviles y evolución del anterior Windows Mobile 6 perteneciente a la familia Windows CE. Esta nueva versión supone un rediseño total del sistema operativo, tanto en interfaz como en servicios, enfocándose en una mayor sencillez de uso para el usuario.
El fallo en la implementación de SSL, al que se le ha asignado el código CVE-2012-2993, permitiría engañar al usuario. La víctima creería conectarse a su servidor de correo por SSL, pero podría estar haciéndolo realmente a un servidor de un tercero incluso si comprobase el certificado.
Contenido completo en fuente original Hispasec
Windows Phone 7 es el nuevo sistema operativo de Microsoft destinado a terminales móviles y evolución del anterior Windows Mobile 6 perteneciente a la familia Windows CE. Esta nueva versión supone un rediseño total del sistema operativo, tanto en interfaz como en servicios, enfocándose en una mayor sencillez de uso para el usuario.
El fallo en la implementación de SSL, al que se le ha asignado el código CVE-2012-2993, permitiría engañar al usuario. La víctima creería conectarse a su servidor de correo por SSL, pero podría estar haciéndolo realmente a un servidor de un tercero incluso si comprobase el certificado.
Contenido completo en fuente original Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!