Investigadores de seguridad de Microsoft encontraron una forma de romper con las garantías de seguridad de extremo-a-extremo de HTTPS sin quebrar ningún esquema criptográfico.

Durante un proyecto de investigación (.pdf) concluido a comienzos de este año, el equipo de Microsoft Research descubrió un conjunto de vulnerabilidades explotable mediante un proxy malicioso que apunte a los módulos de interpretación de los navegadores por encima de la capa HTTP/HTTPS.

Aquí está la esencia del problema, como es explicada por el equipo de investigación:
[En] muchos entornos realistas de red donde los atacantes pueden husmear el tráfico del navegador, se pueden robar información sensible de un servidor HTTPS, falsificar una página HTTPS e impersonar un usuario auténtico para acceder a un servidor HTTPS. Estas vulnerabilidades reflejan los descuidos en el diseño de los navegadores modernos - afectan a los principales navegadores y a un gran número de sitios web.

 Según un boletín de SecurityFocus, un código HTML y código de script suministrados por un atacante, podrían correr en el contexto del navegador afectado, permitiendo potencialmente al atacante robar las credenciales de autenticación basadas en cookie o controlar como los sitios son presentados al usuario. Otros ataques también son posibles.

 Los navegadores afectados incluyen Internet Explorer 8 de Microsoft, Mozilla Firefox, Google Chrome, Apple Safari y Opera.

 Originalmente, se creía que este problema afectaba sólo a los navegadores Mozilla, pero el boletín fue actualizado para reflejar que el problema afecta a multiples navegadores, no sólo a los productos Mozilla.

Fuente:http://blog.segu-info.com.ar/2009/08/falla-en-los-navegadores-expone-los.html