Firefox podría desactivar Java para atajar la vulnerabilidad SSL/TLS

Tras descubrirse una grave vulnerabilidad en las versiones 1.0 y anteriores del mecanismo de cifrado TLS que permite a posibles atacantes interceptar los datos transferidos entre un servidor web y el navegador del usuario, Mozilla se está planteado atajar el problema de raíz.

¿Cómo? Deshabilitando el plug-in de Java en Firefox. Y es que, precisamente, el agujero de seguridad puede ser explotado por el ataque BEAST de Juliano Rizzo y Thai Duong a través de la plataforma de Oracle.

Las siglas BEAST se corresponden a Browser Exploit Against SSL/TLS

“Firefox por sí mismo no es vulnerable a este ataque”, explica un post en el blog Mozilla Security. A pesar de que “utiliza TLS 1.0 (la versión de TLS con esta debilidad), los detalles técnicos del ataque requieren la capacidad de controlar completamente el contenido de las conexiones realizadas en el navegador, algo que Firefox no permite”.

Sin embargo, “los atacantes han encontrado deficiencias en los plug-ins de Java”. Por lo que Mozilla recomienda a los usuarios desactivar Java desde el Firefox Add-ons Manager “como medida de precaución”, mientras la compañía estudia hacerlo por su cuenta de forma temporal hasta que Oracle lance una actualización.

El problema es que, a cambio, el navegador dejaría de funcionar con gran cantidad de webs y ciertas aplicaciones corporativas como el videochat de Facebook, que están basadas en Java.

¿Y el resto de navegadores? Los responsables de Internet Explorer consideran el exploit “un problema de bajo riesgo para los clientes”. Aún así aconsejan migrar de TLS 1.0 a TLS 1.1. Una respuesta en línea con la de Google, que sigue preparando una solución en Chrome para un agujero de seguridad “mucho menos grave que otro que puede ser explotado tras conducir a la víctima hasta una página web”, tal y como recoge CNET.

Opera desarrolló cambios en su versión 11.51, pero resultaron “incomprensibles para miles de servidores en todo el mundo”. Ahora, esperará a que se produzca un consenso en la industria sobre “cómo seguir adelante”.

Por último, Safari no se ha pronunciado sobre esta vulnerabilidad en el protocolo de capa de conexión segura.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

1 día ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago