Debilidad en autenticación de Mozilla y Firefox


Los mecanismos de autenticación en el protocolo HTTP, están definidos en el documento RFC 2617 del IETF (The Internet Engineering Task Force). Allí se establece que se deben utilizar mecanismos de desafío-respuesta, intercambiándose varias solicitudes y respuestas entre el cliente y el receptor.





Firefox y Mozilla, poseen una vulnerabilidad en la implementación de dicho mecanismo, que es utilizado para autenticarse al acceder a sitios web que lo requieran.

Un impacto potencial de esta vulnerabilidad es que un mecanismo de autenticación débil (por ejemplo solo texto), puede ser seleccionado por el navegador en lugar de uno más poderoso ofrecido por el servidor.

Esto implica que los datos entre usuario y servidor podrían ser codificados en BASE64, que no es un estándar de encriptación, y los datos viajarían codificados en simple texto, pudiendo ser decodificados mediante simples algoritmos facilitando un ataque del tipo "Man-in-the-Middle", donde el atacante se convierte en un intermediario de la información transmitida, pudiendo capturar la misma.

Se han publicado varias demostraciones de esta debilidad y no se requieren exploits para la misma.


* Software afectado:

- Mozilla Firefox 1.5 Beta 1
- Mozilla Firefox 1.0.6
- Mozilla Browser 1.7.11

También versiones anteriores pueden ser afectadas.


* Solución:

Según el reporte, Mozilla fue notificado en julio de 2005, pero al momento de esta alerta (14/set/05), no existen aún soluciones oficiales.


* Referencias:

Mozilla / Mozilla Firefox authentication weakness
http://www.security.nnov.ru/Jdocument717.html

Mozilla Firefox cleartext password leak
http://www.security.nnov.ru/Fnews19.html


* Créditos:

3APA3A (www.security.nnov.ru)
Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

El bug de Acrobat PDF
Varios lectores han acertado al extraer la principal consecuencia que puede derivarse de la prueba de concepto publicada ayer en Kriptópolis: un mecanismo de protección de documentos (DRM) que depende de cómo se implemente en cada lector es un mec...
IE8, casi obligatorio . ¿Adiós, IE6?
El nuevo navegador de Microsoft parece querer implantarse claramente en todas las ediciones del sistema operativo de Redmond y para ello sus responsables harán que su actualización sea especialmente relevante tanto para Vista, como, sobre todo, par...
Un disfraz para los spammers
Objeto de miradas de desdén en el pasado, el negocio del correo basura hoy atrae a muchos crackers ambiciosos. Las últimas innovaciones desarrolladas por esos hackers mercenarios para beneficio de los profesionales del correo basura ...
El virus Kamasutra, preparado para atacar documentos Office el 3 de febrero, se extiende a gran velocidad
Un nuevo virus denominado Kamasutra, que asegura contener material pornográfico y referencias al antiguo libro erótico indio, ha comenzado a extenderse a gran velocidad por Internet. El cebo del sexo es la causa de la rá...
Alexander Garzon (Director PHP de Venezuela) en entrevista con Juventud en Línea
El día 11 de Junio en la ciudad de Caracas, en las instalaciones de RNV Radio Nacional de Venezuela Activa 103.9 FM fue entrevistado el Señor Alexander Garzon en el Programa Radial Juventud en Línea conducido por Joan Bouque...
Actualización de OpenSSL que soluciona dos problemas de seguridad
El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario....
"IMPORTANTE" Guía de operaciones de seguridad para Windows 2000 Server
A medida que evolucionan los sistemas de TI, también lo hacen las amenazas a la seguridad que estos pueden sufrir. Para proteger su entorno de forma eficaz contra los ataques, necesita conocer con detalle los peligros con los que puede encontrarse. ...
¿Está el cloud computing preparado para la empresa?
Los últimos problemas sucedidos en los servicios de Google y otras compañías ponen de manifiesto la fragilidad del trabajo sobre la nube....
Disponible el 6to ejemplar de Planetix
Planetix, es una revista con contenido referente a GNU/Linux y al Software Libre....
Apple corrige problemas de seguridad en iTunes y Quicktime
Apple inicia la semana con actualizaciones, y lo hace para solucionar diferentes problemas de seguridad en dos de sus productos: Quicktime y iTunes....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • debilidad
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra