La vulnerabilidad permite realizar un ataque man-in-the-middle a través de los protocolos SSL y TLS y es consecuencia de una ley estadounidense de los años noventa que impuso el uso de “cifrados blandos”. El objetivo no era otro que permitir intervenir fácilmente las comunicaciones.
Según los investigadores, este tipo de cifrado (512 bits) sigue usándose en algunos clientes y servidores TLS / SSL, como el Open SSL (antes de la versión 1.0.1) y en el Secure Transport de Apple. La vulnerabilidad permite a los piratas informáticos (o a las agencias de inteligencia) obligar a los clientes a utilizar estas claves RSA de 512 bits mucho más débiles que las de 1024 o 2048 bits que eran las que deberían usarse.
FREAK afecta a todas las versiones de Windows y permite sortear la seguridad de Secure Channel (Schannel). Microsoft ha comunicado que está “trabajando activamente” con su sus socios de Microsoft Active Protections Program con el fin de protegerlos, y una vez completada la investigación, tendría que tomar la decisión apropiada para ayudar a la protección de sus usuarios.
Microsoft ha añadido que “esto podría incluir el suministro de una actualización de seguridad a través de nuestro proceso de actualizaciones mensuales o suministrar una actualización fuera de ciclo, dependiendo de las necesidades de los clientes”.
Fuente: muyseguridad
