Las versiones beta y beta 2 del navegador web Safari de Apple no validan de
forma correcta el nombre común (Common Name, CN) registrado en un certificado
digital X.509 utilizado en las sesiones SSL/TLS.
Safari de Apple es un nuevo concepto de navegador web, exclusivo para el
sistema operativo Mac OS X. A pesar de estar todavía en fase de desarrollo, ha
recibido un gran eco en la prensa y son muchos los usuarios del sistema
operativo Mac OS X que lo utilizan de forma habitual.
Se ha descubierto que el mecanismo utilizado por Safari para la validación de
los certificados digitales utilizados en la sesiones SSL/TLS no ofrece las
suficientes garantías. Safari no es capaz de detectar aquellos casos en los
que el CN del certificado no coincide con el nombre del servidor.
Esto significa que Safari no realiza la comprobación de que el certificado
digital corresponde realmente al servidor contra el que se está accediendo,
por lo que la existencia del certificado no ofrece ninguna garantía acerca la
autenticidad del servidor remoto al que se está conectando.
Esta vulnerabilidad, unida a la inexistencia de una función en Safari para
visualizar el contenido del certificado, hace que nos encontremos ante un
problema muy importante de seguridad. Por tanto nuestro consejo es que, hasta
el momento en que Apple no solucione este problema, no se utilice el navegador
Safari para acceder a páginas web seguras (páginas cuya dirección empieza por
https://).
En el momento de redactar este boletín, las dos versiones beta de Safari son
vulnerables a este problema.
xavi@hispasec.com
Deja una respuesta