Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2018
Fallada de seguretat en Mozilla Firefox i Thunderbird
Descoberta una fallada que permet evadir la seguretat de la contrasenya mestra de Firefox i Thunderbird
El navegador Mozilla Firefox i el client de correu Mozilla Thunderbird, tenen la característica que els permet emmagatzemar contrasenyes xifrades, usades per l’usuari, per a ser reutilitzades en futures connexions a serveis web o al servidor de correu.
Aquesta característica és possible per mitjà d’una contrasenya mestra, que xifra les contrasenyes guardades en el navegador o client de correu. El problema apareix quan s’ha detectat que el xifrat no es realitza de forma segura, i açò permet trencar la contrasenya mestra, posant al descobert les contrasenyes emmagatzemades per l’usuari.
La fallada és deguda principalment al fet que la contrasenya mestra emprada per a xifrar la resta de contrasenyes emmagatzemades en ambdós productes utilitza un xifrat XA-1. Aquest xifrat no està considerat segur, ja que hi ha vulnerabilitats conegudes que permeten trencar-lo.
De moment no hi ha disponible cap solució per a aquesta fallada. Des de Mozilla han anunciat que estan treballant a substituir el gestor de contrasenyes actual per un nou més segur, denominat LockBox, que estarà disponible com una extensió per a Firefox amb la seua pròxima actualització.
Fins que es llance aquest nou gestor, es recomana als usuaris que s'hi vegen afectats, que eliminen les contrasenyes que tenen emmagatzemades en aquests programes.