Firefox podría desactivar Java para atajar la vulnerabilidad SSL/TLS

Mónica Tilves,

Los responsables de Internet Explorer y Chrome consideran el exploit BEAST un problema “de bajo riesgo”, mientras Opera ha desarrollado cambios en su navegador sin el éxito esperado.

Tras descubrirse una grave vulnerabilidad en las versiones 1.0 y anteriores del mecanismo de cifrado TLS que permite a posibles atacantes interceptar los datos transferidos entre un servidor web y el navegador del usuario, Mozilla se está planteado atajar el problema de raíz.

¿Cómo? Deshabilitando el plug-in de Java en Firefox. Y es que, precisamente, el agujero de seguridad puede ser explotado por el ataque BEAST de Juliano Rizzo y Thai Duong a través de la plataforma de Oracle.

Las siglas BEAST se corresponden a Browser Exploit Against SSL/TLS
Las siglas BEAST se corresponden a Browser Exploit Against SSL/TLS

“Firefox por sí mismo no es vulnerable a este ataque”, explica un post en el blog Mozilla Security. A pesar de que “utiliza TLS 1.0 (la versión de TLS con esta debilidad), los detalles técnicos del ataque requieren la capacidad de controlar completamente el contenido de las conexiones realizadas en el navegador, algo que Firefox no permite”.

Sin embargo, “los atacantes han encontrado deficiencias en los plug-ins de Java”. Por lo que Mozilla recomienda a los usuarios desactivar Java desde el Firefox Add-ons Manager “como medida de precaución”, mientras la compañía estudia hacerlo por su cuenta de forma temporal hasta que Oracle lance una actualización.

El problema es que, a cambio, el navegador dejaría de funcionar con gran cantidad de webs y ciertas aplicaciones corporativas como el videochat de Facebook, que están basadas en Java.

¿Y el resto de navegadores? Los responsables de Internet Explorer consideran el exploit “un problema de bajo riesgo para los clientes”. Aún así aconsejan migrar de TLS 1.0 a TLS 1.1. Una respuesta en línea con la de Google, que sigue preparando una solución en Chrome para un agujero de seguridad “mucho menos grave que otro que puede ser explotado tras conducir a la víctima hasta una página web”, tal y como recoge CNET.

Opera desarrolló cambios en su versión 11.51, pero resultaron “incomprensibles para miles de servidores en todo el mundo”. Ahora, esperará a que se produzca un consenso en la industria sobre “cómo seguir adelante”.

Por último, Safari no se ha pronunciado sobre esta vulnerabilidad en el protocolo de capa de conexión segura.