Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2018
Fallo de seguridad en Mozilla Firefox y Thunderbird
Se ha descubierto un fallo que permite evadir la seguridad de la contraseña maestra de Firefox y Thunderbird
El navegador Mozilla Firefox y el cliente de correo Mozilla Thunderbird poseen la característica que les permite almacenar contraseñas cifradas, usadas por el usuario, para ser reutilizadas en futuras conexiones a servicios web o al servidor de correo.
Esta característica es posible mediante una contraseña maestra que cifra las contraseñas guardadas en el navegador o cliente de correo. El problema viene cuando se ha detectado que el cifrado no se realiza de forma segura y esto permite romper la contraseña maestra poniendo al descubierto las contraseñas almacenadas por el usuario.
El fallo es debido principalmente a que la contraseña maestra empleada para cifrar el resto de contraseñas almacenadas en ambos productos emplea un cifrado SHA-1. Este cifrado no está considerado seguro ya que existen vulnerabilidades conocidas que permiten romperlo.
Por el momento no hay disponible una solución para este fallo. Desde Mozilla han anunciado que están trabajando en sustituir el gestor de contraseñas actual por uno nuevo más seguro, denominado LockBox, que estará disponible como una extensión para Firefox con su próxima actualización.
Hasta que se lance este nuevo gestor, se recomienda a los usuarios que se vean afectados que eliminen las contraseñas que tienen almacenadas en estos programas.