Otra falsificación de certificados SSL en MozillaSe ha reportado que Mozilla es vulnerable a la falsificación de certificados SSL, en la función "cert_TestHostName()".
SSL (Secure Socket Layer), es un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro. Proporciona privacidad para datos y mensajes, y permite autenticar los datos enviados.
Básicamente se utiliza para transmitir información personal o relacionada con tarjetas de crédito de los usuarios a través de Internet. Las direcciones de páginas Web que utilizan conexiones SSL, comienzan con 'https:' en lugar del estándar 'http:'.
El problema con Mozilla, se debe a un error de diseño, que hace que el programa falle en validar correctamente los nombres de servidores seguros certificados. Mozilla está integrado por Mozilla Thunderbird (componente de correo y noticias) y Mozilla Firefox (navegador de Internet).
La vulnerabilidad puede permitir a un pirata falsificar el certificado válido del sitio de un tercero, facilitando de este modo, la realización de ataques del tipo phishing, para que un usuario confiado ingrese sus datos en un sitio que él supone seguro.
PHISHING es toda técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web).
No se requiere un exploit para aprovecharse de este fallo.
Son vulnerables los siguientes productos:
- Avaya Network Routing
- MandrakeSoft Linux Mandrake 9.2, 10.0
- Mozilla Browser 1.0 a 1.7.1 inclusive
- Mozilla Firefox 0.8 a 0.9.2 inclusive
- Mozilla Thunderbird 0.6 a 0.7.2 inclusive
- SGI Advanced Linux Environment 3.0
En el caso de las versiones para Linux, distintos fabricantes han publicado avisos de advertencia, en la mayoría de los casos con las soluciones respectivas. Se recomienda seguir las indicaciones de las diferentes distribuciones.
A los usuarios de Windows y Mac OS X, se sugiere instalar las versiones Mozilla Browser 1.7.2, Mozilla Firefox 0.9.3 o Mozilla Thunderbird 0.7.3 (o superiores).
Relacionados:
Mozilla Upgrade Thunderbird 0.7.3
http://www.mozilla.org/products/thunderbird/Mozilla Upgrade Firefox 0.9.3
http://www.mozilla.org/products/firefox/Mozilla Upgrade Mozilla 1.7.2
http://www.mozilla.org/products/mozilla1.x/Referencias:
(SGI) 20040802-01-U:
SGI Advanced Linux Environment 3 Security Update #9
http://www.securityfocus.com/advisories/7070(Mandrake) MDKSA-2004:082:
Updated mozilla packages fix multiple vulnerabilities
http://www.securityfocus.com/advisories/7068(Slackware) SSA:2004-223-01: Mozilla
http://www.securityfocus.com/advisories/7059(Mozilla) Bugzilla Bug 234058
Certificate name matching for non-FQDNs is insecure
http://bugzilla.mozilla.org/show_bug.cgi?id=234058(Mozilla) Mozilla Firefox Home Page
http://www.mozilla.org/products/firefox/(Mozilla) Mozilla Homepage
http://www.mozilla.org/(RedHat) RHSA-2004:421-17
Updated mozilla packages fix security issues
http://rhn.redhat.com/errata/RHSA-2004-421.htmlPublicado en:
http://www.vsantivirus.com/vul-certificados2-mozilla.htm
