• Falha Crítica de "Forgery Signature" Encontrada no Mozilla NSS Crypto Library

    Duas equipes de pesquisadores independentes, descobriram que uma vulnerabilidade grave na biblioteca criptográfica Security Services Network (NSS) da Mozilla, pode ser explorada para a realização de ataques do tipo "Forgery Signature". Os atacantes podem muito bem aproveitar a falha para forjar assinaturas RSA e a partir daí, configurar sites falsos que imitam os sites legítimos de organizações. Muitos utilizadores da Internet sabem que podem reconhecer sites falsos, verificando se eles estão protegidos por um certificado SSL/TLS.


    No entanto, através do processo de falsificação dos certificados, os cybercriminosos podem configurar phishing e sites para oferecer malware, que são bastante parecidos com os sites legítimos, alertaram os pesquisadores. "Os usuários de uma rede comprometida, poderiam ser direcionados a sites que estivessem utilizando um certificado fraudulento e assim, confundi-los com sites legítimos. Isto poderia enganá-los e induzi-los a revelar informações pessoais, tais como nomes de usuário e senhas. Também seria possível enganar os usuários a baixar malware, sem que soubessem que estariam caindo em uma armadilha, escreveu Daniel Veditz da Mozilla, em um post de blog na quarta-feira.

    A vulnerabilidade foi descoberta, independentemente, por pesquisadores da Intel Advanced Security Threat Research Team e por Antoine Delignat-Lavaud, um membro da equipe Prosecco do INRIA Paris-Rocquencourt. A falha é, na verdade, uma variante de um ataque de "forgery signature" descrito por Daniel Bleichenbacher no ano de 2006.


    Saiba Mais:

    [1] Security Week http://www.securityweek.com/critical...crypto-library

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L