Falsificación de firmas RSA y Navegadores

Hace unos días, Daniel Bleichenbacher mostró un ataque que explotaba una vulnerabilidad en OpenSSL potencialmente grave, ya que permitiría que, en determinados casos, pudieran ser tomadas como válidas firmas digitales falsificadas, incluyendo las de los famosos certificados X.509, utilizados por bancos, comercios y diversos servicios de Internet.

El fallo puede afectar también a aquellas aplicaciones que trabajan con firmas y certificados, principalmente los navegadores (que incluyen algunos certificados de CA que utilizan RSA con exponente público 3), con diferentes repercusiones según los casos...

Así, las investigaciones practicadas por el grupo de Criptografía de la Universidad de Darmstadt (Alemania) muestran que Internet Explorer 6 no es vulnerable, como tampoco lo es Apple Safari.

Firefox tiene resuelto el problema desde su última versión 1.5.0.7.

En cambio en este aspecto Opera anda un paso por detrás, por cuanto no se plantea solucionar el problema hasta su próxima versión 9.02, lo que le ha valido hoy un aviso de Secunia.

Fuente Kriptopolis