Hace unas nueva semanas los hackers Dan Kaminsky y Moxie Marlinspike descubrieron (por separado pero con idénticos resultados) dos importantes vulnerabilidades relacionadas con el protocolo de cifrado más usado de la red, SSL, fallos que presentaron en la conferencia de seguridad Black Hat y que en parte aún no se solucionaron por culpa de Microsoft.
Por un lado descubrieron la forma de obtener un certificado SLL con un proceso muy simple y por el otro un bug en la API de Microsoft CryptoAPI que permite engañar a cualquier aplicación que use esta interfaz de programación y hacerlas entender ese certificado proviene de cualquier sitio web que el atacante quiera. Dicho lo cual, por ejemplo un chico malo podría crear una “copia” de la web que quisiera (PayPal mismamente) y al entrar a ella con el navegador este no detectará que estamos accediendo a un sitio peligroso, para él el certificado SSL es de una web legítima y conocida.
Lo peor de todo el caso es que CryptoAPI es usada por muchos programas, entre ellos Internet Explorer, Google Chrome o Safari (el único navegador que parcheó el bug fue Firefox), y miles de usuarios corren peligro potencial de ser estafados, infectados y demás. Que Microsoft aún no haya resuelto los problemas de su librería me parece indignante. Aunque sea cierto que no toda la culpa es de ellos, al siguiente día de los reportes ya tendrían que haber empezado a reescribir su API o las partes necesarias.
Sí, Firefox :D
“Indignante”, no “indignarte”. Será mejor que lo revises, que además está escrito en negrita y canta mucho XD
Un saludo :-P
Según leo en el artículo de The Register se entiende que la demora en salir una solución no se trata de algo intencional o caprichoso por parte de Microsoft. Los ingenieros de Microsoft se están tomando su tiempo porque involucran demasiadas aplicaciones y no todas hechas por Microsoft (como es el caso de los navegadores Chrome y Safari).
De manera que la frase “por culpa de Microsoft” no es adecuada. No se trata que no quieran corregir el problema sino de tomarse el tiempo para evitar conflictos mayores posteriores. Mozilla puede reparar el problema en Firefox porque es su aplicación y ellos conocen mejor como funciona que Microsoft.
Quizás también vale la pena preguntarse Elías por qué si Mozilla ya tiene la solución todavía no lo hacen ni Google ni Apple. Aparentemente no necesitan esperar a Microsoft pero no hay noticia alguna que estén trabajando en una solución, sólo sabemos que Mozilla está trabajando en una solución para sus versiones anteriores y que siguen usando la mitad de los usuarios de Firefox. A ver cuando salen los parches para todos los navegadores.