Apple y Microsoft parchean la vulnerabilidad FREAK

Apple y Microsoft han publicado actualizaciones de seguridad para parchear la vulnerabilidad FREAK, tras demostrarse que puede ser explotada fácilmente para socavar el cifrado HTTPS utilizado para salvaguardar las comunicaciones en línea.

La vulnerabilidad se las trae… porque es consecuencia de una ley estadounidense de los años noventa que impuso el uso de “cifrados blandos”. El objetivo no era otro que permitir intervenir fácilmente las comunicaciones. De aquellos polvos vinieron estos lodos y la vulnerabilidad permite a los piratas informáticos (o a las agencias de inteligencia) realizar ataques man-in-the-middle a través de los protocolos SSL y TLS, obligando a los clientes a utilizar estas claves RSA de 512 bits mucho más débiles que las de 1024 o 2048 bits que eran las que deberían usarse.

Después de la polémica una vez demostrado la facilidad de su explotación, Apple y Microsoft han respondido rápido. Apple con una actualización de seguridad que incluye soluciones para la vulnerabilidad en Safari en múltiples versiones de OS X que van desde Mountain Lion a Yosemite.

Además, la reciente actualización iOS 8.2 publicada en el lanzamiento del Apple Watch también incluye el parcheo para los dispositivos móviles de la compañía.

Microsoft ha aprovechado su boletín estándar mensual para parchear la vulnerabilidad FREAK en Windows y otras, destacando la dedicada al gusano Stuxnet. Considerada el arma cibernética conocida más poderosas jamás creada, fue responsable del ataque al proyecto de investigación nuclear iraní y ha sido la base para crear poderosos troyanos como Flame y Duqu.

Como siempre, recomendamos actualizar sistemas a la mayor brevedad de forma manual o automática:

– Actualización OS X

– iOS 8.2

– Boletín de seguridad Microsoft marzo 2015