Actualizaciones de seguridad de Internet Explorer y cómo desactivar la opción alterna de SSL 3.0 – Diciembre de 2014

Desactivación de la opción alterna de SSL 3.0

Hemos publicado previamente el Aviso de seguridad 3009008 que notifica que Microsoft desactivará SSL 3.0 de forma predeterminada en Internet Explorer y en todos los servicios en línea de Microsoft en los próximos meses. Para seguir ayudando a proteger a los clientes, estamos tomando el paso intermedio para proporcionar la opción de deshabilitar la opción alterna de SSL 3.0 en Internet Explorer 11 para los sitios de Modo protegido, que es la forma predeterminada para los sitios de Internet y Restringidos. Este cambio se encuentra actualmente desactivado de manera predeterminada, y tenemos la intención de activarlo en forma predeterminada en Internet Explorer 11 el 10 de febrero de 2015.

¿Qué es la opción alterna de SSL 3.0?

La vulnerabilidad POODLE SSL 3.0 expuso una debilidad no sólo en el protocolo SSL 3.0, sino en la forma en que los navegadores negocian una conexión HTTPS con los servidores Web. Al interferir con la conexión entre el cliente y el servidor de destino, un man-in-the-middle puede forzar una degradación de TLS 1.0 o protocolos más nuevos, más seguros, al protocolo SSL 3.0.

En un nivel alto, comúnmente cuando un explorador Web se conecta a un sitio Web HTTPS, en primer lugar intenta hacerlo mediante el protocolo de cifrado más alto disponible. Si esta conexión falla en la primera instancia, el navegador va a buscar una opción alterna y volverá a intentar la conexión con un protocolo de codificación inferior, que finalmente llegará a SSL 3.0. La mayoría de las veces, un repliegue de TLS 1.0 a SSL 3.0 es el resultado de un error inocente, pero esto es indistinguible de un ataque man-in-the-middle.

¿Cuándo bloqueará Internet Explorer la opción alterna SSL 3.0?

La actualización acumulativa de diciembre de 2014 de Internet Explorer (KB3008923), publicada hoy, permite a los usuarios elegir y bloquear la opción alterna de SSL 3.0 en Internet Explorer 11. Los clientes empresariales son capaces de configurar este comportamiento vía Group Policy, y también será configurable en el registro o utilizando una solución fácil de Arreglo con un solo clic. Los detalles sobre cómo configurar este comportamiento se pueden encontrar en KB3013210.

Desde el 10 de febrero de 2015, Internet Explorer 11 evitará la opción alterna de SSL 3.0 para sitios con Modo protegido.

¿Cómo puedo probar si se verá afectado mi servidor?

Revise la configuración del servidor Web y la documentación técnica, ya que muchos servidores, incluso si son compatibles con TLS 1.0, usarán la opción alterna de SSL 3.0. Hay una serie de pruebas de terceros disponibles que pueden ayudar.

La desactivación de SSL 3.0 en su navegador le permitirá ver qué sitios no admiten TLS y necesitan actualizarse. Animamos a los usuarios a utilizar las soluciones fáciles de Arreglo con un solo clic proporcionadas en el Aviso de seguridad 3009008 para deshabilitar SSL 3.0 en su navegador.

Actualizaciones de seguridad

  • Boletín de seguridad de Microsoft MS14-080 – Esta actualización de seguridad crítica resuelve catorce vulnerabilidades reportadas de manera privada en Internet Explorer. Para obtener más información, consulte el boletín completo.

  • Actualización de seguridad para Flash Player (3008925) –  También está disponible esta actualización de seguridad para Adobe Flash Player en Internet Explorer 10 y 11 en las ediciones compatibles con Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2. Los detalles de las vulnerabilidades se documentan en el boletín de seguridad de Adobe APSB14-27. Esta actualización soluciona las vulnerabilidades en Adobe Flash Player mediante la actualización de los binarios de Adobe Flash afectados contenidos dentro de Internet Explorer 10 e Internet Explorer 11. Para obtener más información, consulte el aviso.

Cómo mantenerse actualizado

La mayoría de los clientes tienen activada la actualización automática y no será necesaria ninguna acción, ya que ésta se descargará e instalará automáticamente. Los clientes que la tengan desactivada necesitan comprobar las actualizaciones e instalar esta actualización manualmente.

—  Alec Oot, Administrador de programas, Internet Explorer

 

Original: http://blogs.msdn.com/b/ie/archive/2014/12/09/december-2014-internet-explorer-security-updates-amp-disabling-ssl-3-0-fallback.aspx