Bug en SSL/TLS de Apple
Se ha detectado un error de implementación en la capa de transporte seguro del sistema de gestión de TLS/SSL en varios productos Apple, lo que supone un fallo de validación en la autenticación de las conexiones, dando por válida cualquier firma del mensaje ServerKeyExchange, transmitida como parte de la negociación de claves en SSL cuando se utilizan los mecanismos de las suites DHE y ECDHE.
El fallo de seguridad afecta a un gran número de usuarios, y podría permitir que un atacante interceptase, leyese y modificase comunicaciones protegidas con SSL, como emails, tweets, accesos a páginas web, etc.
Referencias:
- 22/02/2014 imperialviolet.org Apple's SSL/TLS bug
- 22/02/2014 apple.com About the security content of iOS 7.0.6
- 22/02/2014 inteco.es Vulnerabilidad en Apple iOS, Apple TV y Apple OS X. (CVE-2014-1266)
Etiquetas: