El “bug”, o error de código en cuestión, ha sido detectado en la biblioteca GnuTLS, y permite a atacantes eludir las protecciones SSL y TLS instaladas en sitios web que utilizan esta biblioteca de código abierto. Según estimaciones iniciales referidas por la publicación Ars Technica, más de 200 distintos sistemas operativos o aplicaciones confían en GnuTLS para la implementación de operaciones SSL y TLS en sus sistemas.
El origen del “bug” habría sido detectado en una sección del código GnuTLS que verifica la autenticidad de los certificados TLS, que suelen ser conocidos simplemente como Certificados X509. El error de código, cuya data podría ser incluso 2005, interrumpe y cancela procedimientos críticos de verificación. Éste error en sí haría posible la instalación de procedimientos de escucha del sistema por parte de intrusos.
En un boletín de seguridad difundido por Red Hat se indica que GnuTLS no reacciona correctamente ante ciertos errores que podrían ocurrir durante el proceso de validación de un certificado X. 509. “Así, un atacante podría utilizar este error para crear un certificado específicamente diseñado, que podría ser aceptado por GnuTLS como válido, por un sitio elegido por el atacante”.
La vulnerabilidad continúa siendo investigada por expertos en seguridad informática, quienes intentan establecer el efecto que el error de programación ha tenido en distintas aplicaciones y sistemas operativos que dependen de GnuTLS.
La gravedad de la situación fue ilustrada con el siguiente comentario de Matt Green, catedrático especialista en criptografía de la Universidad Johns Hopkins, citado por Ars Technica: “Se ve bastante terrible”.
Ilustración: ArchMan © Shutterstock.com