Mozilla исправляет свой основной недостаток в FireFox

НОВОСТИ
2016-09-28 14:24:52
1
3.2K

washMozilla объявила, что она будет срочно исправлять брешь в FireFox, которая при правильной эксплуатации может использоваться для внедрения в программное обеспечение пользователей. Это может позволить злоумышленникам задействовать свой вредоносный код на компьютерах огромного количества людей, а самое главное Mozilla также заявила, что уязвимость теоритически позвoляет разоблачить пользователей сети TOR.

«Дыра в нашей безопасности позволяет злоумышленнику, который в состоянии получить действительный сертификат addons.mozilla.org, создать дубликат сервера Mozilla и поставлять свои вредоносные обновления для аддонов браузера. Это может привести к сбоям и выполнению произвольного кода. Получение подобного сертификата не является лёгкой задачей, но это вполне

выполнимо для серьёзных разработчиков вредоносного ПО, а так же для государственных компаний.»

Movrcx так же прокомментировал недостаток безопасности, сказав

«Эта ошибка позволяет удалённое выполнить произвольного кода в отношении пользователей, без их согасия и ведома, получая определённый доступ к ресурсам Clearnet, когда же используется совместно с механизмом наведения, например, путём пассивного мониторинга за выходным узлом трафика, предназначенного для конкретных Clearnet ресурсов. Кроме того, подобная атака может позволить злоумышленнику осуществить массовую нападение против всех Tor браузеров и двигаться к деанонимазации после выбранных критериев; например установлен языковой пакет, публичный IP-адрес, DNSкеш, сохранённые coolie, веб-историю и так далее, что угодно.»

Movrcx говорит о том, что получение законного сертификата TLS для addons.mozilla.org это очень трудноезадание, но это вполне возможно.

Независимый исследователь безопасности Дафф Райан утверждает, что FireFox использовал свои собственные слабые механизмы, котоыре и создали угол атаки, и, что Mozilla уже исправила все ошибки в новой версиибраузера.

«FireFox использует свой собственный статистический ключ, для своих сертификатов, вместо использования HPKP. Применение статистического метода оказался значительно слабее, чем метод HPKP, настолько слабее, что эту уязивомсть возможно даже использовать в крупномасштабной атаке против всех пользователей TOR!»

1
3.2K
Написать комментарий

Добавить комментарий

Комментарии 1
avatar
2016-09-30 12:41:16
Мозиловцы прям лажаналуи(
Ответить