En el día de la fecha se ha hecho público el anuncio de una vulnerabilidad en los protocolos TLS 1.0 y SSL 3.0 que podrían propiciar una serie de ataques del tipo Man in the Middle (Ataque de hombre en el medio) relacionados con la renegociación de TLS (Transport Layer Security).

Básicamente, estos ataques permiten a un “Hombre en el Medio” (MITM) inyectar cierto texto plano elegido arbitrariamente en el comienzo de la secuencia del protocolo de la aplicación, generando una variedad de posibilidades de abuso. En particular, ataques prácticos contra certificados de autenticación de clientes de HTTPS han sido demostrados en versiones recientes de Microsoft IIS y Apache Server en diferentes plataformas y en conjunción de una variedad de aplicaciones clientes.

Esto representa un grave defecto para todas las aplicaciones que utilizan TLS, inclusive SSL en cualquiera de sus versiones.

Hasta el momento, no hay solución disponible. Marsh Ray, el descubridor inicial de la vulnerabilidad (junto con Steve Dispensa) está trabajando con un grupo de gente de la comunidad de la seguridad informática en el desarrollo de una solución a este problema.

Nota: AltoSec

Fuente: ISC SANS