PDA

Ver la versión completa : Vulnerabilidad en la validación de certificados en el navegador Safari de Apple



{^JaB3^}
12-05-2003, 15:18
Vulnerabilidad en la validación de certificados en el navegador Safari de Apple
-------------------------------------------------------------------------------

Las versiones beta y beta 2 del navegador web Safari de Apple no
validan de forma correcta el nombre común (Common Name, CN) registrado
en un certificado digital X.509 utilizado en las sesiones SSL/TLS.

Safari de Apple es un nuevo concepto de navegador web, exclusivo para
el sistema operativo Mac OS X. A pesar de estar todavía en fase de
desarrollo, ha recibido un gran eco en la prensa y son muchos los
usuarios del sistema operativo Mac OS X que lo utilizan de forma
habitual.

Se ha descubierto que el mecanismo utilizado por Safari para la
validación de los certificados digitales utilizados en la sesiones
SSL/TLS no ofrece las suficientes garantías. Safari no es capaz de
detectar aquellos casos en los que el CN del certificado no coincide
con el nombre del servidor.

Esto significa que Safari no realiza la comprobación de que el
certificado digital corresponde realmente al servidor contra el que se
está accediendo, por lo que la existencia del certificado no ofrece
ninguna garantía acerca la autenticidad del servidor remoto al que se
está conectando.

Esta vulnerabilidad, unida a la inexistencia de una función en Safari
para visualizar el contenido del certificado, hace que nos encontremos
ante un problema muy importante de seguridad. Por tanto nuestro
consejo es que, hasta el momento en que Apple no solucione este
problema, no se utilice el navegador Safari para acceder a páginas web
seguras (páginas cuya dirección empieza por https://).


Más información

Problem: Multiple Web Browsers do not validate CN on certificates
http://www.securityfocus.com/archive/1/320707