| CERT Advisory CA-2000-08Inconsistent Warning Messages in Netscape [CERT/CC, 26.05.2000, revisão 01] O CAIS está repassando o mais recente alerta do CERT-CC (Computer Emergency Response Team – Coordinator Center), em razão do aparecimento de uma nova vulnerabilidade envolvendo o navegador Netscape e autenticação usando SSL (Secure Socket Layer). Esta vulnerabilidade permite que um atacante, através da contaminação dos mapas DNS na vítima, "disfarce" seu servidor web como sendo legítimo e conseqüentemente drible as verificações de certificação feitas pelo SSL, com o intuito de comprometer o sistema. Esta vulnerabilidade não tem relação com o alerta do CAIS ALR-19052000: "Falha na validação de sessões SSL pelo Netscape Navigator" datado de 19/05/2000, a não ser pelo impacto causado. No entanto, para entender detalhes do funcionamento da certificação via SSL, recomendamos a leitura do mesmo. Ressalta-se que esta nova vulnerabilidade está presente na última versão do navegador Netscape, a 4.73, e nas anteriores. Existe uma solução limitada a alguns sistemas (Linux, Solaris e Windows 95/98/NT) que consiste na instalação do iPlanet Personal Security Manager (PSM) disponivel na seguinte url: http://www.sun.com/download/index.jsp Para sistemas sem suporte ao PSM, a solução apontada pelo CERT inclui as seguintes recomendações: 1. verificar os certificados que são recebidos, clicando no botão "Ver Certificado"; 2. validar os certificados de forma independente, isto é, desconsiderando as autoridades certificadoras (CA) previamente configuradas, uma opção pode ser através da verificação do Fingerprint; 3. rejeitar certificados que não correspondam ao site que está sendo acessado; 4. ficar atento a novas atualizações, patches e soluções. Maiores detalhes podem ser encontrados em: Alerta do CERT: Documento de autoria de Kevin Fu, descobridor da vulnerabilidade: | Contato com o Cais: +55 (19) 3787-3300 |