Llegamos a ustedes gracias a:



Noticias

Microsoft toma acciones contra los ataques POODLE en IE11

[12/02/2015] Microsoft dio otro paso en sus intentos para proteger a Internet Explorer 11 contra los ataques POODLE, y afirmó que finalmente deshabilitaría SSL 3.0 en el navegador en abril.

En octubre del 2014, un equipo de investigadores de seguridad de Google reveló una falla de 15 años de antigüedad en SSL 3.0 -un viejo estándar usado para cifrar el tráfico entre los navegadores y los servidores web-, y llamó a los ataques que explotan este bug como POODLE (Padding Oracle On Downgraded Legacy Encryption).

Los criminales podrían robar cookies de sesión con un ataque tipo "hombre en el medio; estas cookies luego permitirían a los hackers suplantar a las víctimas, y loguearse automáticamente en sitios para comprar cosas, revisar el correo electrónico o robar archivos de los servicios de almacenamiento de nube.

Los navegadores web fueron diseñados para usar versiones nuevas de SSL o del sucesor, el TLS (Transport Layer Security), pero antes de las relevaciones del equipo de Google la mayoría se había acomodado con el SSL 3.0.

Con la actualización del martes a IE11, el navegador ahora está configurado para impedir por defecto lo que se llama un "SSL 3.0 fallback, un mecanismo que fuerza al navegador a cambiarse a SSL 3.0 si se está usando protocolos de cifrado más seguros, como el TLS 1.2.

En diciembre, una actualización en IE11 ofrecía la eliminación del SSL fallback solo como una opción.

Con otra actualización programada para el 14 de abril -para el Martes de Parches de ese mes- Microsoft deshabilitará de forma completa el SSL 3.0, lo que constituye su paso final en su cambio defensivo.

Los navegadores rivales actuaron mucho más rápido que Microsoft para deshacerse del SSL 3.0.

Mozilla deshabilitó el SSL 3.0 en Firefox 34, que fue lanzado en noviembre del 2014, y Google hizo lo mismo con Chrome 40, lanzado el 21 de enero del 2015. Apple aún no ha descartado el SSL 3.0. En cambio, bloqueó el uso por parte de Safari de códigos criptográficos potencialmente vulnerables el año pasado.

El tardío ingreso de Microsoft en el carro del "kill-SSL 3.0 refleja su enfoque conservador hacia la mayoría de los problemas con los navegadores, una necesidad ya que el grueso de los usuarios de IE lo usan en entornos de negocio. Las corporaciones son notoriamente adversas al cambio, y utilizarían Cain si Microsoft repentinamente lanza el protocolo, evitando que los trabajadores lleguen a ciertos sitios web.

También es interesante saber que los cambios han sido realizados -y serán realizados en abril- solo en IE11, no en las ediciones anteriores del navegador. Aunque esto deja vulnerables a la mayoría de los usuarios de IE -en enero, IE11 solo representaba el 38% de todas las copias de IE, de acuerdo a la compañía Net Applications-, Microsoft ha hecho de IE11 su navegador primario para el futuro. En agosto del 2014, Microsoft abruptamente anunció que daba a los clientes hasta enero del 2016 para dejar de usar las versiones anteriores de IE.

Luego del 12 de enero del 2016, Microsoft solo soportará IE11 en Windows 7, 8 y 8.1. Microsoft va a empaquetar IE con Windows 10, junto con un nuevo código de navegador llamado "Spartan, pero aún no ha dicho qué versión de IE será renombrada. Los otros navegadores ya no recibirán parches de seguridad.

La actualización de IE11 fue una de las nueve que Microsoft lanzó el martes. Designada como MS15-009, parchó 41 vulnerabilidades en la línea de navegadores. La actualización puede conseguirse a través del servicio Windows Update o del Windows Server Update Services (WSUS) para negocios.