Mozilla emitió ayer parches para tres brechas públicas en Firefox 3,5 y 3.0, incluido uno para una vulnerabilidad importante en los programas del navegador que manejan los certificados SSL, cuyo fin es securizar las comunicaciones online.
El problema relacionado con los certificados SSL fue revelado la semana pasada en el marco de la conferencia de seguridad Black Hat, y puede ser aprovechado por los atacantes para utilizar un certificado “null-termination” para interceptar las comunicaciones SSL entre el browser del usuario y un determinado sitio Web.
Tal tráfico generalmente se encuentra encriptado, de forma que sólo aparece como una serie de letras y números indescifrables para cualquier espía digital, pero la vulnerabilidad en cuestión permite realizar con éxito ataques de secuestrotipo “man-in-the-middle” si el atacante consigue acceso a la red de la víctima.
Por lo que respecta a la actualización 3.0.13, cubre dos brechas, también reveladas en la conferencia Black Hat, en la versión más antigua de Firefox, que Mozilla espera dejar de soportar en enero de 2010.
En cuanto a Firefox 3.5.2, resuelve una única vulnerabilidad en la forma en que el navegador de Mozilla maneja las réplicas generadas por proxies SOCKS5. La peligrosidad de esta brecha ha sido clasificada por la compañía como “baja”, dado que no se han encontrado pruebas de corrupción de memoria en los ataques, algo necesario para que los hackers puedan inyectar su código malicioso en la máquina de la víctima.
No hay comentarios:
Publicar un comentario