Un atacante puede solicitar un certificado para uno de sus subdominios. Después, una vulnerabilidad en la mayoría de los navegadores causará que analicen mal el nombre del dominio y crean que es válido. Se da el ejemplo de un certificado del sitio paypal.com[null].dominio.com, que algún navegador podría interpretar como el propio de paypal.com al terminar de leer en el carácter nulo.
Comentarios
He puesto null porque no quedaba bien. Es el típico carácter de fin de cadena de C (contrabarra + 0)
Firefox 3.5 no es vulnerable, se están buscando parches para 3.0.
Vía Slashdot: http://it.slashdot.org/story/09/07/30/186228/Null-Character-Hack-Allows-SSL-Spoofing
Joder, que chapuza
en español:
http://barrapunto.com/articles/09/07/31/1514258.shtml