Se ha publicado una nueva versión del navegador Opera que solventa un fallo que permitiría a una página sin conexión SSL mostrarse como si estuviera protegida por ese protocolo. Se engañaría así a los usuarios que accediesen a ella.
Opera es un navegador web gratuito (no libre) cuyo principal mercado se orienta a los smartphones, donde se mueve por los primeros puestos de uso.
En principio, una página que no se encuentre bajo una conexión segura (SSL) debería ser mostrada como tal, sin ninguna notificación en la barra de navegación. Este fallo, sin embargo, permitía que una página web sin conexión SSL, fuese mostrada como «segura». Esto se conseguía a través de una pagina web (con conexión «habitual», sin cifrar ni autenticar) especialmente manipulada que sí cargaba contenido SSL, del que se mostrada la información de seguridad en la barra de direcciones de la web principal. No han trascendido más detalles de cómo se conseguía explotar esta vulnerabilidad.
La última versión del navegador (Opera 11.51) soluciona este fallo junto con otra vulnerabilidad de severidad baja, descubierta y reportada por Thai Duong y Juliano Rizzo, de la que no se ha dado ningún detalle hasta la fecha. Con respecto a los certificados fraudulentos emitidos por DigiNotar, no ha sido necesaria una actualización del navegador por el propio funcionamiento de Opera al comprobar las listas de revocación.
jrascon@hispasec.com
Twiter: @jvrrascon
Más información:
Opera security advisory
http://www.opera.com/support/kb/view/1000/
Opera changelogs
http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-released
Deja una respuesta