Logotipo de Mozilla Firefox

Mozilla ha desactivado su nueva mejora de encriptación luego de descubrir un bug de seguridad que les permitía a los atacantes falsificar Certificados para atravesar los escudos de protección HTTPS.

De acuerdo a un reporte de Ars Technica, el bug fue introducido en Firefox 37, el cual fue lanzado el 31 de Marzo. Mozilla publicó Firefox 37.01 el 3 de Abril, lo cual desactivó la característica ventajosa.

Firefox 37 “Incluyó soporte para HTTP/2, un estándar de internet que le permite a las conexiones web ser encriptadas incluso cuando no se brinda soporte para el protocolo HTTPS. Una característica es los Servicios Alternativos de HTTPS – También se conocen con el nombre de Alt-Svc – Lo cual fuerza la encriptación end-to-end entre páginas, a través de protocolos de redirección,” Reporta ZDNet.

Mozilla describió la vulnerabilidad en una publicación en su página de avisos de seguridad: “El Investigador de Seguridad, Muneaki Nishimura descubrió una falla en la implementación de la característica de Servicios Alternativos HTTP de Mozilla. Si un encabezado Alt-Svc es especificado en respuesta a HTTP/2, la verificación de certificados puede ser atravesada por el servidor alternativo especificado. Como resultado de esto, las advertencias de Certificados SSL Inválidos no serán mostradas y un atacante podría fácilmente hacerse pasar por cualquier otro sitio a través de un Man-in-the-middle (MITM), reemplazando el certificado original con el suyo.

En la descripción del Bug Alt-Svc, Sophos exclamó que esto podría ser utilizado por actores maliciosos para redireccionar a sus víctimas a una conexión segura “Sin producir una advertencia de certificado para decir que el sitio se vislumbraba como impostor. En otras palabras, incluso un usuario bien informado podría aceptar un sitio Phishing como algo totalmente real.

Fuente: thewhir.com