Los desarrolladores de Firefox en busca de una forma de proteger a sus usuarios contra un nuevo ataque que descifra el tráfico web sensible están considerando seriamente una actualización para el navegador de código abierto deje de trabajar con el software framework Java de Oracle.

La medida, que impediría que Firefox trabajara con decenas de sitios web populares y de las herramientas cruciales de empresas, es una forma de frustrar un ataque recientemente dado a conocer que descifra el tráfico protegido por SSL, el protocolo criptográfico que millones de sitios web utilizan para proteger los números de seguridad social y otros datos sensibles.

En una demostración el viernes pasado, que duró menos de dos minutos para los investigadores tailandeses Duong y Rizzo Juliano para esgrimir la vulnerabilidad para recuperar una cookie de autenticación encriptada utilizada para acceder a una cuenta de usuario de PayPal.

BEAST (Browser Exploit Against SSL / TLS= exploit del navegador contra SSL / TLS), inyecta JavaScript en una sesión de SSL para recuperar la información secreta que se transmite en varias ocasiones en un lugar predecible en el flujo de datos. Para la implementación del viernes de BEAST para ponerlo a trabajar, Duong y Rizzo tuvieron que derribar un mecanismo de seguridad en la red conocida como la política del mismo origen (SOP=Same Origin Policy), que dicta que el conjunto de datos de dominio de Internet no se puede leer o modificar en una dirección diferente.

Los investigadores usaron un componente (applet) de Java como medio de evitar la SOP, esto ha llevado a los principales desarrolladores de Firefox a discutir el bloqueo del framework en una futura versión del navegador.

“Recomiendo que bloqueemos la lista de todas las versiones del plugin de Java”, escribió el desarrollador de Firefox, Brian Smith el martes en una discusión en el foro de errores en línea de Mozilla. “Mi entendimiento es que Oracle puede o no estar al tanto de los detalles del exploit política del mismo origen. Por ahora, no tenemos ETA (“Edited To Add”), un acrónimo de internet para”editar para agregar“) para una corrección para el plugin de Java.”

Unas cuatro horas más tarde, su compañero desarrollador Justin Scott actualizo el hilo, escribiendo:

“En el interés de mantener este fallo actualizado con el último estado, esta mañana me preguntó Johnath un poco de ayuda para entender el balance entre la horrible experiencia del usuario que esto causaría y la gravedad y la prevalencia del problema de seguridad y estoy esperando volver a escuchar. También hablamos sobre esto en la reunión del equipo de los productos actuales y definitivamente necesitamos comprender mejor antes de poner el bloqueo en su lugar”.

En la mañana del miércoles, Johnath, el alias del Director de Ingeniería de Firefox Johnathan Nightingale, considero: “Sí – esto es una llamada dura. Matar Java significa desactivar la funcionalidad del usuario en el chat de vídeo en Facebook, así como diversas aplicaciones corporativas basadas en Java empresarial“.

Pasó a decir que Firefox ya tiene un mecanismo para “bloqueo suave” de Java que permite a los usuarios volver a activar el plugin desde el administrador de complementos del navegador (addons) o en respuesta a un cuadro de diálogo que aparece en ciertos casos.

“Hacer clic para reproducir la lista blanca de dominio específico dará ciertos beneficios, pero sospecho que suficientes usuarios serán de lista blanca, por ejemplo, Facebook que incluso con esos mecanismos (que no existen actualmente!) en su lugar, tenemos muchos usuarios potencialmente expuestos a las debilidades de Java.

La medida draconiana que se examina es un marcado contraste con el enfoque que los desarrolladores del navegador Google Chrome han tomado. La semana pasada, actualizaron las versiones beta de Chrome para dividir ciertos mensajes en fragmentos para reducir el control del atacante sobre el texto en claro a cifrar. Mediante la adición de aleatoriedad inesperada al proceso de cifrado, el nuevo comportamiento en Chrome pretende que BEAST pierda la esencia del proceso de descifrado por la información confusa de alimentación.

La actualización ha creado incompatibilidades entre Chrome y por lo menos algunos sitios web, como muestra este informe de error de Cromo. Google todavía tiene que hacer la actualización a la gran mayoría de los usuarios de Chrome que dependen de la versión estable del navegador.

Microsoft, por su parte, ha recomendado que los usuarios realicen varias correcciones de solución mientras se desarrolla un parche permanente. La empresa no ha definido el enfoque que se propone adoptar.

La perspectiva de Firefox de no trabajar con Java puede causar una variedad de problemas graves para los usuarios, en particular los de las grandes corporaciones y organizaciones gubernamentales que se basan en el framework para hacer que sus exploradores funcionen con redes privadas virtuales, herramientas de intranet y aplicaciones de conferencia web tales como Cisco Systems’ WebEx.

Presumiblemente matarían Java agregándolo a la Mozilla Blocklisting Policy (Política de lista de Bloqueo de Mozilla).

“Cualquier decisión que tomemos aquí, tengo realmente la esperanza que Oracle lancen una actualización por ellos mismos”, escribió Nightingale. “Es la única manera de mantener a sus usuarios afirmativamente a salvo”.

Traduccion: Velcro

Fuente: theregister.co.uk

Anuncios