Informática

Firefox Es Vulnerable A Ataques De Suplantación

Una vulnerabilidad crítica se ha encontrado en la versión parcheada del navegador Firefox de Mozilla que podría permitir a atacantes poner en marcha un ataque Man In The Middle (MITM) o ataque de suplantación, como si fuera poco, esta vulnerabilidad afecta a los usuarios de la red Tor.

El Proyecto Tor ha solucionado el problema en el sistema de colocación de certificado HTTPS del navegador el día viernes con el lanzamiento de su versión de Tor Browser 6.0.5, mientras que Mozilla todavía tiene que parchear el fallo crítico en Firefox.

Los atacantes pueden ofrecer falsas actualizaciones en Tor y Firefox

La vulnerabilidad podría permitir que mediante un ataque de suplantación se pueda obtener un certificado falso para addons.mozilla.org y así hacerse pasar por los servidores de Mozilla y, como resultado, ofrecer una actualización maliciosa para NoScript, HTTPS Everywhere u otras extensiones de Firefox instaladas en el equipo atacado.

«Esto podría provocar la ejecución de código arbitrario [vulnerabilidad],» Funcionarios de Tor advirtieron en un aviso. «Por otra parte, otras verificaciones de certificados integrado se ven afectados.»

Aunque sería difícil obtener un certificado fraudulento para addons.mozilla.org de cualquiera de varios cientos de entidades emisoras de certificados de confianza-Firefox (CA), sin duda no ha sido problema para ser vulnerado por los atacantes.

La vulnerabilidad fue descubierta inicialmente el martes por un experto en seguridad que se conoce con el nombre de @movrcx, quien describió los ataques contra Tor, los atacantes han estimado que necesitarían US$100.000 para lanzar ataques multi-plataforma.

Donde esta realmente el problema

según un informe publicado el jueves por el investigador independiente de seguridad Ryan Duff, este problema también afecta a Firefox en versiones estables, aunque una versión nightly build que se ha lanzado el 4 de septiembre no es afectada por esta vulnerabilidad.

Duff dijo que el problema real reside en el método personalizado de Firefox para el manejo de «Certificado de pinning», que es diferente de la norma aprobada por la IETF HPKP (HTTP Public Key Pinning).

EL Certificado que fija al HTTPS es una característica que asegura que el navegador del usuario sólo acepta una clave de certificado específico para un dominio o subdominio en particular y rechaza todas las demás, evitando que el usuario de ser víctima de un ataque realizado por spoofing a los certificados SSL.

Aunque no es muy popular, el estándar HPKP se utiliza a menudo en los sitios web que manejan información sensible.

«Firefox utiliza su propio método de colocación de clave estática para sus propios certificados de Mozilla en lugar de utilizar HPKP,» dice Duff. «La aplicación del método estático parece ser mucho más débil que el método HPKP y es defectuoso hasta el punto de que es bypassable, en este caso de un ataque.»

Mozilla está programado para liberar Firefox 49 el 20 de septiembre, por lo que el equipo tiene suficiente tiempo para entregar una solución. El Proyecto Tor tomó sólo un día para hacer frente a la falla después de la divulgación del bug se haya puesto en marcha.

Los usuarios de Tor Browser debe actualizar a la versión 6.0.5, mientras que los usuarios de Firefox deben desactivar las actualizaciones automáticas de complementos, una característica por defecto en el navegador, o deberían considerar el uso de un navegador diferente hasta que Mozilla brinde la actualización.

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

2 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

2 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace