Tras los meses de la discordia en los que los usuarios de Windows vivíamos en nuestro palacio de cristal, apuntando con el dedo a Android, iOS y Mac OS por ser víctimas de una vulnerabilidad en las conexiones SSL/TLS, ahora nos toca salir de él para unirnos a ellos en cierta manera.
Microsoft ha confirmado que la vulnerabilidad FREAK existe en el Canal Seguro (Schannel) y afecta a todas las versiones de Windows. El Schannel es un paquete de seguridad que implementa los protocolos de autenticación SSL/TLS. Ese proceso de autenticación puede ser utilizado como un exploit que permite a los posibles atacantes reducir el cifrado de la encriptación SSL/TLS, forzando a los sistemas cliente a usar un nivel de cifrado RSA más débil en el proceso.
En esencia se trata de un exploit man-in-the-middle (MITM), que permite a los atacantes la capacidad de interceptar y descifrar el tráfico cifrado. Algo que ya vimos otras veces, como cuando hablamos de una vulnerabilidad en Flash Player.
Este ataque FREAK está llamando mucho la atención, ya que parece que ha afectado a más de un tercio de los servidores HTTPS con certificados de confianza. La mayoría de los navegadores más usados han sido o están afectados, incluyendo Internet Explorer, Chrome en OS X, Android, Safari, iOS, el navegador AOSP de Android, el navegador de Blackberry, Opera en OS X y Linux.
Google ya ha publicado un parche para Chrome en OS X y Apple hará lo mismo para Safari la próxima semana. Mientras tanto, Microsoft dice que, aunque ellos no han encontrado ninguna evidencia de que este exploit haya afectado a los usuarios de Windows, harán un esfuerzo (posiblemente con una actualización no programada) para hacer frente al ataque.
Cuando finalice la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Esto puede incluir una actualización de seguridad dentro del ciclo mensual o una actualización fuera de ese ciclo, en función de las necesidades del cliente.
Mientras tanto, los usuarios de Windows podéis tomar ciertas precauciones. Microsoft aconseja deshabilitar el intercambio de claves RSA usando el Editor de Objetos de Directiva de Grupo, opción disponible desde Windows Vista. Este recurso provisional desactiva la capacidad del atacante para lanzar FREAK, ya que depende de la compatibilidad con el servidor de conjuntos de grado de exportación. Podéis comprobar si vuestro navegador es vulnerable desde aquí.
Vía | Winbeta
Fuente | Security Week
Imagen | Universidad de Arizona
En función de las necesidades del cliente? serán flojos.. lo que tienen que hacer es ponerse las pilas y lanzar el parche cuanto antes.
Ya han lanzado el proceso de mitigación que tienes en https://technet.microsoft.com/en-us/library/security/3046015.aspx
y que puedes seguir si tienes necesidad especial de estar protegido.
Prefiero que lancen un parche estable y testeado, aunque les lleve mas tiempo.
Mm.. más tiempo? Ya sabemos que Microsoft son un poco vagos en estos temas de las actualizaciones.. No es la primera vez que ocurre. Así que no, no estoy conforme. Microsoft debería poner mucho más hincapié en el tema de seguridad. Y no por lanzarlo antes debe ser menos estable. Se puede ser rápido y al mismo tiempo eficaz.
“Ya sabemos que Microsoft son un poco vagos en estos temas de las actualizaciones”. Lo sabrás tu, no hables por todos.
Precisamente Microsoft no son los vagos. Me viene a la cabeza la vulnerabilidad de Android que afecta al 50% de usuarios y han pasado de ellos completamente por pereza total.
Siempre sacando el tema de android o IOS, preocupense de los defectos que tiene W y WP y no de la paja en el ojo ajeno.
Como alguien diga por aquí alguna critica de W o WP ya saltan que si android que si android o android…. Acaso que android tenga o no tenga problemas va a ser que W/WP no los tenga?.
Que cansinos siempre con lo mismo. Yo soy usuario de W y WP y a mi android ni me entra mi me sale.
Esto me hace recordar siempre un amigo de la infancia que se metió a fumar “boliches” (pico de la heroina) Yo siempre le decia: Joder Andres cada día estas mas mal… mirate eso.. Y el me contestaba “no es para tanto… Aquel está peor”.
Yo es que no trabajo en Microsoft. Entonces me gusta fijarme en todas las pajas ajenas, porque mi compra dependerá de la paja que mejor estado tenga y mas me guste y cuide en ese momento. Esto incluye Android, iOs, WP, Ubuntu, etc..
Así que me reafirmo en el asunto de actualizaciones de seguridad, Microsoft precisamente no son los vagos, para mí los vagos son Android, que han dejado tirados con un problema de seguridad que afecta al 50% de los usuarios Android, con una convincente explicación de “no merece la pena sacar un parche para esos usuarios”.
Espero que tu amigo no siga fumando “boliches”. No es sano. Tú amigo en este caso sería Android, y tú WP :). No eras tú mismo, pero te preocupaste de la paja ajena o de tu amigo cercano. Yo pienso lo mismo de Android, cada día esta peor, se deberían mirar eso.
Pues entonces piensas igual que yo. Lo mi depende de lo que mejor me convenga no de fanatismos y chorradas.
No es igual porque aquel chico era mi amigo, Android ni W lo son, son empresas que nos sacan el dinero (así que ese ejemplo no vale).
Eso si, para mi Android es igual que W de PC.
Nunca entiendo estos ataques y vulnerabilidades. Soy ignorante como miles en el mundo. Por eso pienso que estos problemas ocurren pero la mayoría ni sabe de existió jajaja. No me enoja me da igual. No tengo nada que ocultar ni tampoco soy importante asi que me da lo mismo. Espero que las empresas sean las primeras en recibir un parche.
Mañana iré a tu casa y te vigilaré mientras comas, vayas al baño y trabajes, y cuando vayas con tus amigos iré contigo y haré listas de sus comportamientos. En serio, es como decir “me da igual morir, voy a quemarme vivo”. Vaya gilipolleces se monta la gente con “no tengo nada que ocultar”, madre mía…
Me dice que mi navegador Firefox 36.0.1 es vulnerable, igual no entendi lo que hace este ataque, ya fue, supongo que Mozilla sacara un update para el firefox.