Added |
Translation |
|
La aplicación de banca móvil Chase para Android no verifica que el nombre de host del servidor coincida con un nombre de dominio en el Common Name (CN) del sujeto o el campo subjectAltName del certificado X.509, lo que permite a atacantes man-in-the-middle suplantar servidores SSL a través de un certificado válido arbitrario, relacionado con la sobreescritura del X509TrustManager por defecto. NOTA: esta vulnerabilidad fue solucionada en el verano de 2012, pero el número de versión no fue cambiado o no se conoce.
|