No entanto, através do processo de falsificação dos certificados, os cybercriminosos podem configurar phishing e sites para oferecer malware, que são bastante parecidos com os sites legítimos, alertaram os pesquisadores. "Os usuários de uma rede comprometida, poderiam ser direcionados a sites que estivessem utilizando um certificado fraudulento e assim, confundi-los com sites legítimos. Isto poderia enganá-los e induzi-los a revelar informações pessoais, tais como nomes de usuário e senhas. Também seria possível enganar os usuários a baixar malware, sem que soubessem que estariam caindo em uma armadilha, escreveu Daniel Veditz da Mozilla, em um post de blog na quarta-feira.
A vulnerabilidade foi descoberta, independentemente, por pesquisadores da Intel Advanced Security Threat Research Team e por Antoine Delignat-Lavaud, um membro da equipe Prosecco do INRIA Paris-Rocquencourt. A falha é, na verdade, uma variante de um ataque de "forgery signature" descrito por Daniel Bleichenbacher no ano de 2006.
Saiba Mais:
[1] Security Week http://www.securityweek.com/critical...crypto-library