Este blog ya no está activo, sigue informándote aquí:

Mostrar todo
Mostrando entradas con la etiqueta RC4. Mostrar todas las entradas
Mostrando entradas con la etiqueta RC4. Mostrar todas las entradas

lunes, 6 de julio de 2015

Firefox y Su ¡No Toco SSLv3 y RC4 Ni Con Un Palo!



Hace un par de días que Mozilla Firefox que, aparte de solucionar algunas vulnerabilidades criticas como las siguientes: 
  • CVE-2015-2731: Las vulnerabilidades críticas residen en un uso después de liberar memoria cuando Content Policy modifica el Document Object Model para eliminar un objeto DOM 
  • CVE-2015-2722: Uso de memoria después de liberarla en workers mientras se usa XMLHttpRequest. 
  • CVE-2015-2733: Uso de memoria después de liberarla en workers mientras se usa XMLHttpRequest. 
  • CVE-2015-2724: Diversos problemas de corrupción de memoria en el motor del navegador
  • CVE-2015-2726: Diversos problemas de corrupción de memoria en el motor del navegador 
  • CVE-2015-2734: Múltiples vulnerabilidades encontradas a través de inspección de código
  • CVE-2015-2740: Múltiples vulnerabilidades encontradas a través de inspección de código
Sino que le ha dado una patada de esas que utilizamos todos para esconder la suciedad debajo de las alformbras, al protocolo SSLv3 y a RC4,  La verdad es que ya era hora de que alguno de los navegadores mas importante del "mercado" se posicionara después de que el IETF dese a este protocolo como muerto. 

Algunos sabréis lo fan que soy de Google Chrome pero creo que, si no encuentro mas noticias al respecto, cambiaré de navegardor. Volveré a esa época donde usar plugins era molón. 

Sed Buenos y actualizad vuestro Firefox. 
Publicado por en No hay comentarios:
Etiquetas , , , , ,

jueves, 19 de marzo de 2015

¡RC4 Debe Moir! ¡Yo Pongo Las Antorchas!

Hace unos días hablamos de la futura actualización de OpenSSL. La cual esperábamos con bastante impaciencia ya que, lo que ha estado pasando con el protocolo SSL no tiene nombre. Lo en realidad tiene mas gracia de todos es que aunque consigas que toda una empresa actualice a TLS 1.0 aun tendrás problemas ya que el algoritmo de cifrado de RC4 también está comprometido. Así que, si no tuviste ojo antes de proponer la actualización te tocara revisarlo. 


Por esto,  me ha hecho especial ilusión encontrarme con el trabajo de [Christina Garman], [Kenny Paterson] y [Thyla van der Merwe] sobre porque RC4 debe morir y presentando diferentes tipos de ataques al algoritmo de cifrado. 

"Our attacks enhance the statistical techniques used in the previous attacks and exploit specific features of the password setting to produce attacks that are much closer to being practical. We report on extensive simulations that illustrate this. We obtain good success rates with 226 encryptions of the password. By contrast, the previous generation of attacks required around 234 encryptions to recover an HTTP session cookie."

La verdad es que han dejado fino a RC4 sobre TLS y sobretodo si sois unos apasionados de la criptografia y las matemáticas  os recomiendo mucho que leáis su paper. 

Por si teneis curiosidad os dejo el enlace a la página aquí abajo:

Fuente: 
Publicado por en No hay comentarios:
Etiquetas , , , , , , , ,
Suscribirse a: Entradas (Atom)