SSL derrotado en IE y Konqueror

SSL derrotado en IE y Konqueror
Por Thomas C. Greene, en Washington (como se publica en http://www.theregister.co.uk)
Publicado: 12/08/2002 a las 06:38 GMT


Un colosal cosas, en Microsoft, y la aplicación de KDE de SSL (Secure Sockets Layer) de manejo certificado hace posible que cualquier persona con un certificado de sitio válido SSL de VeriSign para falsificar cualquier otro VeriSign certificado de sitio SSL y Konqueror abuso desafortunado y los usuarios de Internet Explorer con la impunidad .

En más detalle, tenemos un problema de cadena de certificados descubierto por Mike Benham de thoughtcrime.org. Una cadena se forma cuando un certificado intermedio es de confianza entre el servidor y el cliente. Supuestamente, la intermedia se acepta sólo si es firmado por la entidad emisora \u200b\u200bde certificados como seguros para el propósito. Si es simplemente otro firmado por la clave del certificado, no debe ser de confianza, o por lo menos el usuario deberá ser advertido. Desafortunadamente, debido a un descuido de seguridad de ingeniería absurda, IE y Konqueror no se molestan en comprobar esto, así que si un propietario de un sitio complicado firma un certificado intermedio con otro certificado válido, los usuarios serán sin enterarse.

El navegador, Benham, dice, "debe verificar que el CN \u200b\u200b[Nombre común] campo de la certificación de la hoja coincide con el dominio que acaba de conectarse a, que es firmado por la CA intermedia [Certificate Authority], y que la CA intermedia está firmado por una conocida certificado de la CA. Por último, el navegador Web debe verificar que todos los certificados intermedios tienen validez las limitaciones de CA básicos ".

Y es aquí que el IE no. No hay ninguna comprobación de las restricciones básicas. Así, un atacante puede obtener un certificado SSL legítimos de su dominio y usarlo para firmar un certificado ficticio para un segundo sitio. IE no comprobar si el muñeco es de hecho válido para el segundo sitio, sino que simplemente asume que es. Más específicamente, un certificado que no deben ser utilizados para firmar otros simplemente no se comprueba. Es muy posible especificar que un certificado no es válido dado a firmar a otros, y sólo IE simplemente descuido para comprobar si ese es el caso.

La cuerda es que cualquier tonto con un certificado SSL puede suplantar certs para los populares, sitios de confianza y de intercepción de comunicaciones ampliamente imaginada para ser seguro con un hombre-en-the-middle. Si esto le sucede a usted, que el icono del candado poco tranquilizador es esencialmente inútil.

Benham Ha instalado una manifestación que utiliza Amazonas.com Como el spoofee. Reúno prefiera la IP de prueba no ser publicado, pero pueda ser logrado vía email a través de su BugTraq correos. Para la manifestación para trabajar, la IP de prueba y la amazona tienen que ser asociadas.

No he probado esto en IE, ya varios investigadores anuncio a hilo BugTraq Benham han confirmado el comportamiento. Pero lo hice de prueba en Mozilla 0.9.4, que Benham dice que no es vulnerable, y Konqueror 3.0 (KDE 3.0.2 en SuSE 8.0), que no menciona.

Konqueror resultó muy vulnerables, como he mencionado anteriormente. Mozilla no era vulnerable, pero no estoy seguro si es porque lo ha manejado la situación correctamente, o es, irónicamente, de alguna manera demasiado buggy para ser explotados.

Hice un simple archivo HTML con enlaces a la URL del Amazonas. Después de asociar página de prueba Benham de IP con www.amazon.com en mi archivo de hosts me encontré con que en Konqueror, un enlace para https://www.amazon.com me trajo inmediatamente a la página "que ha sido hackeado ', lo que indica el fracaso total. El comportamiento es el mismo cuando escribió la dirección URL en la barra de direcciones.

Con Mozilla la URL, https://www.amazon.com simplemente se fue a ninguna parte. No advertencia del CERT, no 404, nada. El navegador sólo permaneció en la página desde la que empecé. El comportamiento es el mismo cuando escribió la dirección URL en la barra de direcciones.

Sinceramente, no sé si eso califica como un éxito o un fracaso feliz, pero de cualquier manera los usuarios de Mozilla pueden seguir utilizando SSL en la media hora, mientras que Microsoft y VeriSign son peleas y culpándose mutuamente por el problema. ®

---

> Ver Más: SSL derrotado en IE y Konqueror

Sorprendido a nadie?

Esta es la forma por encima de mi cabeza!

¿No cree que obtendrá una respuesta mucho de esto.

Sonidos graves sin embargo!

Entonces, ¿cómo afecta esto a la gente de la calle (o PC)?

LOL -
No esperaba respuesta mucho más - esto es sólo un mano a mano para mantener un ojo abierto para una revisión de seguridad o actualización para su navegador si utiliza Internet Explorer o Konqueror.

En resumidas cuentas (sólo mi visión) es que esta vulnerabilidad podría ser utilizada por un sitio malicioso código (que contiene virus, troyano o tal vez el código spyware) para falsificar un certificado SSL de VeriSign sitio de un sitio legítimo - pasando por alto los mecanismos de seguridad en los navegadores de evitar sitios desconocidos / unsafe (sin firma) ...
Usted podría terminar visitando un sitio hostil disfrazado como un sitio conocido - y conseguir ejecutar código desagradable en su máquina.

Sonido correcto?

Todo lo que puedo decir es que estoy experimentando una sensación húmeda y tibia por mi pierna derecha.

Tal vez el tiempo para que mi vieja copia de Netscape a cabo.

LOL