Inicio de zonavirus, antivirus

Fallo en Chrome muestra errores en sitios con certificados SSL de Symantec

flacoroo
Friday, December 9, 2016

El error afecta Chrome en todas las plataformas así como al componente WebView en Android.



Si se ha encontrado errores el pasado mes al intentar acceder a sitios HTTPS en su computadora o en Android, el error podría haber estado ahí debido a un fallo en Chrome.



El error afectó la validación de algunos certificados SSL emitidos por Symantec, una autoridad certificadora (CA por sus siglas en inglés), como también GeoTrust y Thawte, dos CA que Symantec también controla.



El fallo fue introducido en la versión 53 de Chrome, pero también afecta el componente Android WebView que las aplicaciones Android utilizan para mostrar contenido web, comenta Rick Andrews, director senior técnico en Symantec en una entrada de blog.



Para solucionar el problema en Android, usuarios finales deben actualizar a la más reciente versión de WebView y la nueva versión 55 de Chrome, él menciona. "Desarrolladores que utilizan Android Open Source Platform (AOSP) necesitarán revisar sus propias aplicaciones para asegurar compatibilidad".



Incluso considerando que es un componente del sistema, liberado con Android 5.0 (Lollipop), WebView es entregado como un paquete de aplicación que se puede actualizar a través de la tienda de Google Play.



La versión 55 de WebView Android System fue liberado en 1ero de diciembre, pero Chrome para Android todavía se encuentra en la versión 54, la cual fue liberada en octubre.



Google ha hecho cambios en la versión 54 de Chrome en Windows, Mac, Linux y iOS, así como para Chromium y las pestañas personalizables de Chrome, por lo cual los certificados de Symantec ya no mostrarán errores de confianza. Sin embargo, el error está corregido completamente para todas las plataformas en la versión 55 de Chrome, comenta Andrews.



La conclusión es que se debe actualizar todas las aplicaciones Chrome a la versión 55 tan pronto como esté disponible para su plataforma. Para varias plataformas, esta versión fue liberada el 1 de diciembre.



El origen del problema fue la decisión de Google de forzar a Symantec a publicar todos los certificados emitidos por la CA de la compañía después del 1ero de junio al log público de Transparencia de Certificados (Certificate Transparency).



Esta decisión fue tomada después de una investigación interna de Symantec sobre una emisión no autorizada de una validación de extendida (EV) de certificados para google.com. El año pasado faltaron alrededor de 150 certificados emitidos sin la aprobación de los dueños del dominio. Symantec comentó en el tiempo en que los certificados fueron emitidos, que estos fueron generados con fines de prueba y que nunca dejaron la organización.



Debido que las CA dependen de los proveedores de navegadores para confiar en sus certificados raíz dentro de sus productos, compañías como Google, Mozilla, Microsoft y Apple pueden esperar retenerlas para identificar cuando ellos infrinjan en las reglas de emisión de reglas.



Después del incidente de Symantec, Google implementó un mecanismo en la versión 53 de Chrome para solo confiar en los certificados emitidos por la compañía después del 1ero de junio de 2016, que cumplen con la política de Transparencia de Certificados.



Sin embargo, otro mecanismo en el navegador establece un límite de 10 semanas para confiar en los datos de TC, para evitar que la información fuera obsoleta. Cuando esto se combinó con la verificación de compatibilidad de TC aplicada para los certificados de Symantec, este provocó fallos involuntarios de confianza incluso para certificados compatibles.



http://www.seguridad.unam.mx/noticia/?noti=3102

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto