Esta grave vulnerabilidad de Java permite falsificar certificados y firmas TLS
Las organizaciones que utilizan versiones más recientes del framework Java de Oracle deben tomar medidas de seguridad inmediatamente. Esto porque acaban de revelar una vulnerabilidad crítica que puede facilitar que los atacantes falsifiquen certificados y firmas TLS. Pero eso no es todo, también pueden falsificar mensajes de autenticación de dos factores y credenciales de autorización generadas por una gama de estándares abiertos ampliamente utilizados.
La vulnerabilidad afecta la implementación del algoritmo de firma digital de curva elíptica (ECDSA por sus siglas en inglés) en las versiones de Java 15 y superiores. ECDSA es un algoritmo que utiliza los principios de la criptografía de curva elíptica para autenticar mensajes digitalmente. Una ventaja clave de ECDSA es el tamaño más pequeño de las claves que genera, en comparación con RSA u otros algoritmos criptográficos. Esto lo hace ideal para su uso en estándares que incluyen 2FA basado en FIDO, el Lenguaje de Marcado de Aserción de Seguridad, OpenID y JSON.
