Os desenvolvedores do Firefox estão atualmente discutindo a possibilidade de desabilitar o Java da Oracle (plug-in), como uma solução potencial para a recem divulgada vulnerabilidade SSL / TLS. O plug-in Java é o componente que permite que atacantes explorem as vulnerabilidades apresentadas por Juliano Rizzo e Thai Duong na semana passada. Esses dois pesquisadores, demonstraram como os cookies de páginas web arbitrárias podem ser reconstruídos, apesar de serem enviados através de conexões criptografadas.
Para o ataque chosen-plaintext no modo Cipher-Block Chaining (CBC), que tende a ser usado com TLS, Rizzo e Duong tiveram que contornar a Same Origin Policy (SOP) do navegador, para que eles possam se comunicar com demais servidores.
Mesmo que o propósito do SOPs seja para evitar exatamente isso, uma falha anteriormente reservada em Java parece permitir que atacantes possam fazê-lo independentemente. Na opinião dos desenvolvedores do Firefox, o ônus é, portanto, que a Oracle resolva o problema relacionado ao Java em primeiro lugar.
No entanto, a Oracle até agora não respondeu nada sobre o ocorrido, o que levou os desenvolvedores a considerar o lançamento de uma atualização, que possa desativar todos os plug-ins Java por razões de segurança. Isso, no entanto, desabilita algumas funcionalidades do usuário: exemplos dados pelo Diretor de Engenharia do Firefox, Johnathan Nightingale, incluem bate-papo de vídeo do Facebook, e vários aplicativos corporativos baseados em Java.
Devido a isso, a solução recomendada pela Microsoft é que os usuários interrompam TLS 1.0 e TLS 1.1, mas esta abordagem exige que os servidores suportem TLS 1.1, mas até agora, apenas alguns servidores oferecem este suporte. Alguns desenvolvedores do Firefox acham que isso não seria resolvido de qualquer maneira, porque Java usa sua stack própria TLS.
Fonte: Under-Linux
Para o ataque chosen-plaintext no modo Cipher-Block Chaining (CBC), que tende a ser usado com TLS, Rizzo e Duong tiveram que contornar a Same Origin Policy (SOP) do navegador, para que eles possam se comunicar com demais servidores.
Mesmo que o propósito do SOPs seja para evitar exatamente isso, uma falha anteriormente reservada em Java parece permitir que atacantes possam fazê-lo independentemente. Na opinião dos desenvolvedores do Firefox, o ônus é, portanto, que a Oracle resolva o problema relacionado ao Java em primeiro lugar.
No entanto, a Oracle até agora não respondeu nada sobre o ocorrido, o que levou os desenvolvedores a considerar o lançamento de uma atualização, que possa desativar todos os plug-ins Java por razões de segurança. Isso, no entanto, desabilita algumas funcionalidades do usuário: exemplos dados pelo Diretor de Engenharia do Firefox, Johnathan Nightingale, incluem bate-papo de vídeo do Facebook, e vários aplicativos corporativos baseados em Java.
Devido a isso, a solução recomendada pela Microsoft é que os usuários interrompam TLS 1.0 e TLS 1.1, mas esta abordagem exige que os servidores suportem TLS 1.1, mas até agora, apenas alguns servidores oferecem este suporte. Alguns desenvolvedores do Firefox acham que isso não seria resolvido de qualquer maneira, porque Java usa sua stack própria TLS.
Fonte: Under-Linux
Nenhum comentário:
Postar um comentário