Parches emitidos. Los investigadores descubrieron una debilidad en algunos de los protocolos utilizados para proteger el tráfico Web y datos de comercio electrónico a través de Internet, derivado de un defecto en su especificación.

Las vulnerabilidades de Transport Layer Security y  Datagram TLS fueron descubiertas por los investigadores Nadhem AlFardan y Kenny Paterson del Grupo de Seguridad de Información de Royal Holloway en la Universidad de Londres. (pdf)

Todas las suites de cifrado TLS y DTLS que incluyen el modo de cifrado cipher block chaining son potencialmente vulnerables a los ataques, dijeron los investigadores.

Se puede hacer una recuperación completa en texto plano con OpenSSL, de acuerdo con los investigadores y una recuperación parcial con GnuTLS.

Sin embargo, los investigadores resaltaron que “los ataques sólo los puede llevar a cabo un atacante que está cerca de un dispositivo” para poder comprometerlo.

En este sentido, “los ataques no representan un peligro significante para los usuarios ordinarios de TLS”.

Sin embargo, los investigadores pronostican que el ataque mejorará con el tiempo o cambiara la manera de comprometer lo equipos.

Los investigadores nombraron los ataques como “Lucky Thirteen” después de los trece bytes de información de cabecera en el cálculo TLS MAC, que hace posible comprometer a un dispositivo.

"Esto es lo que entendemos por humor entre criptógrafos", dijeron los investigadores.

Una solución para este defecto y otros dos problemas de seguridad, fue liberada por OpenSSL. Otras organizaciones como NSS, GnuTLS, CyaSSL, Opera y BouncyCastle también emitieron parches.