Microsoft derrota a su particular BEAST
Los de Redmond han lanzado el boletín MS12-006 para parchear un grave agujero de seguridad en el cifrado web SSL/TLS.
Casi cuatro meses después de que los investigadores Juliano Rizzo y Thai Duong descubriesen una vulnerabilidad en las versiones 1.0 y anteriores de TLS (Transport Layer Security), el mecanismo de cifrado usado en conexiones HTTP, Microsoft ha lanzado una solución para Windows capaz de asegurar los movimientos en sitios de comercio electrónico y otras páginas tan populares como Facebook o Twitter.
Concretamente, MS12-006 pone fin a un grave fallo de seguridad en los protocolos Secure Sockets Layer (SSL) y Transport Layer Security. Microsoft ya planeaba liberar este parche para deshacerse de BEAST en diciembre, pero tuvo que retrasar su salida por problemas de compatibilidad con el software de SAP.
Las siglas BEAST se corresponden a Browser Exploit Against SSL/TLS y se refieren a una técnica de robo de datos que socava la tecnología de comunicaciones seguras mediante la ejecución un código JavaScript malicioso en el navegador de la víctima. Y, por lo tanto, derivan en ataques “man-in-the-middle”, descifrando las cookies que otorgan acceso a cuentas de usuario restringidas en los distintios sitios web.
Junto a este boletín los de Redmond han lanzado otros seis, incluidos el MS12-004, calificado como crítico y que remienda dos agujeros en el Windows Media Player, y el MS12-001, relacionado con un fallo que no puede ser explotado directamente por un atacante pero sí puede ser usado para facilitar el uso de otro exploit.