La vulnerabilidad permite interceptar la información enviada entre cliente y servidor.

Hoy un grupo de expertos en seguridad de Google reveló la existencia de una vulnerabilidad en el protocolo de seguridad SSL 3.0, encargado de cifrar datos entre cliente y servidor. A pesar de que este sistema fue creado hace unos 15 años, todavía es utilizado en muchos sitios web.

De acuerdo con los investigadores, la falla permite que un atacante pueda interceptar información que supuestamente debería estar cifrada. Lo grave del asunto es que aun si el servidor utiliza el protocolo TLS, que es más seguro, la vulnerabilidad hace posible “engañar” al cliente y así obligarlo a utilizar SSL 3.0 para luego explotar el bug.

Por ahora se recomienda deshabilitar el soporte para SSL 3.0 en los servidores, y lo mismo para los usuarios desde sus navegadores web. El problema es que no todos los exploradores tienes disponible esta opción, aunque la gente de Google asegura que ya están trabajando en una solución para Chrome.

Finalmente, el equipo de Mountain View señala que durante los próximos meses se dedicarán a eliminar el uso de SSL 3.0 en todos sus productos. El descubrimiento de esta nueva llega luego de que este mismo año se alertara sobre la vulnerabilidad de Heartbleed, y más recientemente sobre el bug conocido como Shellshock.

* Foto de portada: Mark Fischer

vía The Next Web

fuente Google Online Security Blog

temas