:

Szerző: Hlács Ferenc

2016. szeptember 20. 09:30

Kritikus sebezhetőséget foltoz a Mozilla

Komoly biztonsági hiba ütötte fel a fejét a Firefoxban, a böngészőben talált sebezhetőséget kihasználva támadók közbeékelődéses "man-in-the-middle" támadást intézhetnek a kiszemelt áldozatok ellen - a hiba ráadásul az anonim Tor online hálózatot is érinti.

A frissen nyilvánosságra hozott biztonsági résen keresztül potenciális támadók egy érvényes, a Mozilla online kiegészítőboltjához, azaz az addons.mozilla.org-hoz tartozó tanúsítvány birtokában, magukat hiteles Mozilla-szervereknek álcázva kommunikálhatnak az áldozat számítógépével, amelyre aztán kártékony kiegészítő-frissítéseket is kiküldhetnek. A lépéssel akár tetszőleges kódfuttatásra is lehetőség nyílhat a célba vett eszközön. Ryan Duff független biztonsági szakértő szerint a támadás végrehajtásához szükséges erőforrások bármely megfelelően felszerelt állami szerv számára rendelkezésre állnak.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A The Register által idézett Georg Koppen, a Tor egyik fejlesztője szerint a szoftver beépített tanúsítvány-pinning megoldásai sem kifogástalanok. Utóbbiak a hamis tanúsítványok kiszűrésére szolgálnak azáltal, hogy a fejlesztők kvázi alkalmazásaikba drótozzák azokat, így amennyiben a kommunikáció a támadó szerverei felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között. Ahogy Koppen fogalmaz, egy érvényes tanúsítvány megszerzése a Mozilla szoftveréhez továbbra sem könnyű feladat, ugyanakkor "bőven elérhető" cél egy olyan szervezet számára, mint a korábban említett állami szervek.

A sebezhetőség az ugyancsak Firefoxra építő Tor Browser, a kifejezetten a Tor hálózat elérésére használt böngésző felhasználóit is érinti, akik ellen kiterjedt támadás hajtható végre vele, az áldozatok ráadásul akár különböző szempontok alapján is szűrhetők vagy kiválaszthatók, mint a böngészőben telepített nyelvi csomag, a publikus IP cím, netán a tárolt cookie-k vagy keresési előzmények.

A lehetséges támadást az online Movrcx néven futó biztonsági kutató vázolta fel, először privát jelentésben, majd miután a Tor Project üzemeltetői figyelmen kívül hagyták a fenyegetést, végül nyilvánosan is közzétette azt. A szakértő szerint a több platformot is fenyegető sebezhetőség teljes kiaknázása nagyjából 100 ezer dollárjába kerülne a támadóknak - a projekt legdrágább része a megfelelő TLS tanúsítvány megszerzése lenne. Ahogy a kutató fogalmaz, nehéz, de nem lehetetlen feladatról van szó.

A biztonsági rés ugyanakkor rövidesen bezárul, azt a Mozilla a szeptember 20-án érkező stabil verzióban foltozza.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.