Por Gary Davis
Durante el día de hoy, el equipo de Investigación de amenazas avanzadas de Intel Security descubrió una vulnerabilidad crítica en la biblioteca criptográfica de los Servicios de Seguridad de Red (NSS) de Mozilla. La biblioteca se usa, principalmente, en el popular navegador web Firefox, pero también se encuentra en otros productos de Mozilla como Thunderbird y Seamonkey; además de Google Chrome.
¿Qué es exactamente una biblioteca criptográfica?
Una biblioteca criptográfica es, en gran parte, lo que parece. Es una colección de algoritmos criptográficos que se usan en una variedad de estándares de Internet.
¿Qué es lo malo de esta vulnerabilidad?
La vulnerabilidad de la biblioteca NSS de Mozilla, llamada «BERserk», permite a los agresores fabricar firmas RSA.
RSA es un método de cifrado que ayuda a garantizar que sus datos se transmitan de forma segura en la web. Si ve un sitio web «https://», por ejemplo, uno da por sentado que el sitio web es seguro. Sin embargo, con el descubrimiento de BERserk, parecería que ya no serían tan seguros como se creía.
Si un hacker puede saltar la autenticación de sitios web a través de capas de conexión segura (SSL) / seguridad de la capa de transporte (TLS), la criptografía responsable de ese «https://» que estamos acostumbrados a ver, los sitios que vemos como seguros quizá no sean tan seguros después de todo. Esto significa que si compra o ingresa a una banca en línea en un sitio web que usa SSL (o «https://») es posible que su información personal quede expuesta.
¿Qué puedo hacer al respecto?
Por suerte, Firefox ha emitido un parche para corregir esta vulnerabilidad. Si es usuario de Firefox, debe actualizar de inmediato su navegador con los parches más recientes de Mozilla. Ya que Google también utiliza esta misma biblioteca criptográfica, los usuarios de Google Chrome y Chrome OS también deberían instalar las actualizaciones.
Si desea conocer detalles más técnicos de la vulnerabilidad BERserk recientemente descubierta, lea esta publicación de blog del director de tecnología de Intel Security Mike Fey o ingrese a nuestro sitio web.