Foundstone informó de la publicación de una actualización para Citrix MetaFrame Password Manager 2.0 que resuelve una vulnerabilidad que posibilita, en determinadas circunstancias, que las credenciales de los usuarios sean almacenadas en el sistema local sin ningún tipo de cifrado.

Citrix MetaFrame Password Manager 2.0 es un producto que permite a los usuarios acceder a una variedad de aplicaciones, sistemas y sitios web con tan sólo proporcionar en una ocasión su credencial, sin que sea necesario que introduzcan contraseñas secundarias cada vez que acceden a uno de los recursos protegidos.

Por seguridad, el citado programa almacena las contraseñas de forma cifrada, tanto en local como en un sistema central, utilizando para ello el algoritmo 3DES. Sin embargo, se descubrió que si el administrador no configuró correctamente el agente Citrix MetaFrame Password Manager, para que apunte a un sistema central de almacenamiento, las credenciales introducidas -después de que el usuario ejecute el asistente "First Time User Wizard"- son almacenadas en local sin cifrar, facilitando su acceso a terceros.

La actualización -hotfix MPME100W001- proporcionada por Citrix para corregir la citada vulnerabilidad se encuentra disponible en la dirección que figura a continuación.

MAs información;
http://support.citrix.com/kb/entry.jspa?entryID=4062

Reproducido de; DataFull.