Freak Attack es el nombre de una nueva vulnerabilidad SSL / TLS que salió a la luz el 3 de marzo de 2015. La vulnerabilidad puede ser aprovechada por piratas informáticos para debilitar el cifrado utilizado entre clientes y servidores cuando se utilizan conexiones HTTP.

Los afectados son los servidores, según a un sitio que está rastreando el problema 9.5% de los principales 1 millón de nombres de dominio de Alexa, pero también navegadores web como Chrome, Safari e Internet Explorer.

Los navegadores no son necesariamente vulnerables en todos los sistemas que admiten. Chrome, por ejemplo, es vulnerable en Android y Mac OS X, pero no en Windows.

Firefox parece ser el único navegador que no se ve afectado por la vulnerabilidad en todos los sistemas que admite.

Dado que Internet Explorer se ve afectado por la vulnerabilidad en Windows, es importante verificar si su PC es vulnerable y hacer algo al respecto si ese es el caso.

La forma más sencilla de hacerlo es utilizar el Herramienta de prueba de cliente Freak que prueba la vulnerabilidad e informa si su navegador es vulnerable o no.

vulnerabilidad de ataque anormal

Punta lateral: Si ejecuta un servidor que admita SSL / TLS, usa esta herramienta para comprobar la vulnerabilidad. Si su servidor es vulnerable, use Configuración recomendada de Mozillan para deshabilitar la compatibilidad con conjuntos de cifrado vulnerables.

En Windows, solo Internet Explorer parece ser vulnerable, mientras que todos los demás navegadores parecen estar protegidos contra vulnerabilidades.

Microsoft lanzó un aviso de seguridad ayer que incluye una solución para algunos sistemas Windows. ¿Algunos? La solución temporal requiere acceso al Editor de políticas de grupo, que solo está disponible en las versiones Professional, Ultimate y Enterprise de Windows.

No existe una solución alternativa para los sistemas que no admiten el Editor de políticas de grupo.

suites de cifrado ssl

  1. Toque la tecla de Windows, escriba gpedit.msc y presione enter.
  2. Use la barra lateral izquierda para navegar a Política de equipo local> Configuración de equipo> Plantillas administrativas> Red> Opciones de configuración de SSL.
  3. Haga doble clic en SSL Cipher Suite Order.
  4. Cambie la política a habilitada.
  5. Copie el pedido del conjunto de cifrado de la página de avisos de Microsoft en el portapapeles y péguelo en el formulario de conjuntos de cifrado SSL.
  6. Haga clic en Aceptar y reinicie la PC.

Esto protege a Internet Explorer de la vulnerabilidad. Windows no se conectará a sistemas que usen un cifrado no compatible en la lista que agregó en el Editor de políticas de grupo.

Para deshacer el cambio en un momento posterior, establezca la política en deshabilitada.

Para mitigar el problema en Windows, use un navegador que no sea Internet Explorer mientras tanto o aplique la solución alternativa mencionada anteriormente si es posible. (vía Deskmodder)

Ahora tu: ¿Su sistema es vulnerable?

Actualización: los usuarios de Firefox que reciben informes de que su sistema es vulnerable pueden querer verificar si los complementos o el software de seguridad están interfiriendo con el proceso. El lector de Ghacks, Torro, notó que Avast’s Web Shield era la causa de los informes de vulnerabilidad en su versión de Firefox.

Por Deyanira