|
Debilidad en autenticación de Mozilla y Firefox
|
|
VSantivirus No. 1896 Año 9, jueves 15 de setiembre de 2005
Debilidad en autenticación de Mozilla y Firefox
http://www.vsantivirus.com/vul-mozilla-140905.htm
Por Angela Ruiz
angela@videosoft.net.uy
Los mecanismos de autenticación en el protocolo HTTP, están definidos en el documento RFC 2617 del IETF (The Internet Engineering Task Force). Allí se establece que se deben utilizar mecanismos de desafío-respuesta, intercambiándose varias solicitudes y respuestas entre el cliente y el receptor.
Firefox y Mozilla, poseen una vulnerabilidad en la implementación de dicho mecanismo, que es utilizado para autenticarse al acceder a sitios web que lo requieran.
Un impacto potencial de esta vulnerabilidad es que un mecanismo de autenticación débil (por ejemplo solo texto), puede ser seleccionado por el navegador en lugar de uno más poderoso ofrecido por el servidor.
Esto implica que los datos entre usuario y servidor podrían ser codificados en BASE64, que no es un estándar de encriptación, y los datos viajarían codificados en simple texto, pudiendo ser decodificados mediante simples algoritmos facilitando un ataque del tipo "Man-in-the-Middle", donde el atacante se convierte en un intermediario de la información transmitida, pudiendo capturar la misma.
Se han publicado varias demostraciones de esta debilidad y no se requieren exploits para la misma.
Software afectado:
- Mozilla Firefox 1.5 Beta 1
- Mozilla Firefox 1.0.6
- Mozilla Browser 1.7.11
También versiones anteriores pueden ser afectadas.
Solución:
Según el reporte, Mozilla fue notificado en julio de 2005, pero al momento de esta alerta (14/set/05), no existen aún soluciones oficiales.
Referencias:
Mozilla / Mozilla Firefox authentication weakness
http://www.security.nnov.ru/Jdocument717.html
Mozilla Firefox cleartext password leak
http://www.security.nnov.ru/Fnews19.html
Créditos:
3APA3A (www.security.nnov.ru)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|