Firefox podría desactivar Java para atajar la vulnerabilidad SSL/TLS

Tras descubrirse una grave vulnerabilidad en las versiones 1.0 y anteriores del mecanismo de cifrado TLS que permite a posibles atacantes interceptar los datos transferidos entre un servidor web y el navegador del usuario, Mozilla se está planteado atajar el problema de raíz.

¿Cómo? Deshabilitando el plug-in de Java en Firefox. Y es que, precisamente, el agujero de seguridad puede ser explotado por el ataque BEAST de Juliano Rizzo y Thai Duong a través de la plataforma de Oracle.

Las siglas BEAST se corresponden a Browser Exploit Against SSL/TLS

“Firefox por sí mismo no es vulnerable a este ataque”, explica un post en el blog Mozilla Security. A pesar de que “utiliza TLS 1.0 (la versión de TLS con esta debilidad), los detalles técnicos del ataque requieren la capacidad de controlar completamente el contenido de las conexiones realizadas en el navegador, algo que Firefox no permite”.

Sin embargo, “los atacantes han encontrado deficiencias en los plug-ins de Java”. Por lo que Mozilla recomienda a los usuarios desactivar Java desde el Firefox Add-ons Manager “como medida de precaución”, mientras la compañía estudia hacerlo por su cuenta de forma temporal hasta que Oracle lance una actualización.

El problema es que, a cambio, el navegador dejaría de funcionar con gran cantidad de webs y ciertas aplicaciones corporativas como el videochat de Facebook, que están basadas en Java.

¿Y el resto de navegadores? Los responsables de Internet Explorer consideran el exploit “un problema de bajo riesgo para los clientes”. Aún así aconsejan migrar de TLS 1.0 a TLS 1.1. Una respuesta en línea con la de Google, que sigue preparando una solución en Chrome para un agujero de seguridad “mucho menos grave que otro que puede ser explotado tras conducir a la víctima hasta una página web”, tal y como recoge CNET.

Opera desarrolló cambios en su versión 11.51, pero resultaron “incomprensibles para miles de servidores en todo el mundo”. Ahora, esperará a que se produzca un consenso en la industria sobre “cómo seguir adelante”.

Por último, Safari no se ha pronunciado sobre esta vulnerabilidad en el protocolo de capa de conexión segura.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Los ingresos por SMS comerciales ralentizan su crecimiento

En 2024 solamente aumentarán un 5 %, cuando el año pasado habían crecido un 23…

7 mins ago

Philips amplía su familia de monitores E1 Line

Entre los nuevos lanzamientos se encuentra el modelo 27E1N1600AE con conectividad USB-C y soporte de…

46 mins ago

Logitech diseña teclados para espacios que comparten tareas profesionales y personales

Presenta el teclado Signature Slim K950 Wireless, el Signature Slim Combo y el Signature Slim…

1 hora ago

Check Point Software mejora Infinity IA Copilot con tecnología de Microsoft

Aprovecha el servicio Microsoft Azure OpenAI para reforzar esfuerzos contra las crecientes amenazas de seguridad.

2 horas ago

6 recomendaciones para una Semana Santa segura

Los ciberdelincuentes no descansan en vacaciones. Huir del WiFi público, navegar en incógnito y usar…

22 horas ago

Altia anuncia los mejores resultados financieros de sus treinta años de historia

Durante 2023 su cifra de negocio mejoró un 44,3 % para alcanzar los 241 millones…

23 horas ago