Se han anunciado múltiples vulnerabilidades en diferentes
productos Kaspersky que podrían permitir a atacantes remotos evitar la
validación de certificados o a usuarios locales obtener una llave SSL privada.
Recursos afectados
- Kaspersky Anti-Virus 2016, 2017
- Kaspersky Internet Security 2016, 2017
- Kaspersky Total Security 2016, 2017
- Kaspersky Small Office Security 4, 5
- Kaspersky Fraud Prevention for Endpoints 6.0
- Kaspersky Safe Kids for Windows 1.1
- Kaspersky Endpoint Security for Mac
Un usuario local puede obtener una llave privada empleada
para gestionar conexiones SSL y construir ataques contra las conexiones SSL
iniciadas por el navegador del usuario atacado.
Cuando el usuario atacado confía explícitamente en un
certificado SSL no válido para un determinado sitio, es posible que un usuario
remoto pueda omitir las advertencias de validación de certificados de los
sitios enumerados en los Subject Alternative Names del certificado SSL no
válido original.
Por último, un usuario remoto que pueda realizar un
ataque de hombre en el medio podría aprovechar un error en la caché del
certificado SSL para acceder a conexiones SSL iniciadas por el navegador del
usuario de destino para un sitio.
Recomendación
Kaspersky ha publicado actualizaciones para los
siguientes productos:
- Kaspersky Anti-Virus 2016, 2017
- Kaspersky Internet Security 2016, 2017
- Kaspersky Total Security 2016, 2017
- Kaspersky Small Office Security 4, 5
- Kaspersky Fraud Prevention for Endpoints 6.0
- Kaspersky Endpoint Security for Mac
Más información:
- Kaspersky: SSL interception differentiates certificates with a 32bit hash https://bugs.chromium.org/p/project-zero/issues/detail?id=978
- Advisory issued on 28th December, 2016 https://support.kaspersky.com/vulnerability.aspx?el=12430#281216
