Szerző: Hlács Ferenc

2016. szeptember 20. 09:30

Kritikus sebezhetőséget foltoz a Mozilla

Komoly biztonsági hiba ütötte fel a fejét a Firefoxban, a böngészőben talált sebezhetőséget kihasználva támadók közbeékelődéses "man-in-the-middle" támadást intézhetnek a kiszemelt áldozatok ellen - a hiba ráadásul az anonim Tor online hálózatot is érinti.

A frissen nyilvánosságra hozott biztonsági résen keresztül potenciális támadók egy érvényes, a Mozilla online kiegészítőboltjához, azaz az addons.mozilla.org-hoz tartozó tanúsítvány birtokában, magukat hiteles Mozilla-szervereknek álcázva kommunikálhatnak az áldozat számítógépével, amelyre aztán kártékony kiegészítő-frissítéseket is kiküldhetnek. A lépéssel akár tetszőleges kódfuttatásra is lehetőség nyílhat a célba vett eszközön. Ryan Duff független biztonsági szakértő szerint a támadás végrehajtásához szükséges erőforrások bármely megfelelően felszerelt állami szerv számára rendelkezésre állnak.

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

A The Register által idézett Georg Koppen, a Tor egyik fejlesztője szerint a szoftver beépített tanúsítvány-pinning megoldásai sem kifogástalanok. Utóbbiak a hamis tanúsítványok kiszűrésére szolgálnak azáltal, hogy a fejlesztők kvázi alkalmazásaikba drótozzák azokat, így amennyiben a kommunikáció a támadó szerverei felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között. Ahogy Koppen fogalmaz, egy érvényes tanúsítvány megszerzése a Mozilla szoftveréhez továbbra sem könnyű feladat, ugyanakkor "bőven elérhető" cél egy olyan szervezet számára, mint a korábban említett állami szervek.

A sebezhetőség az ugyancsak Firefoxra építő Tor Browser, a kifejezetten a Tor hálózat elérésére használt böngésző felhasználóit is érinti, akik ellen kiterjedt támadás hajtható végre vele, az áldozatok ráadásul akár különböző szempontok alapján is szűrhetők vagy kiválaszthatók, mint a böngészőben telepített nyelvi csomag, a publikus IP cím, netán a tárolt cookie-k vagy keresési előzmények.

A lehetséges támadást az online Movrcx néven futó biztonsági kutató vázolta fel, először privát jelentésben, majd miután a Tor Project üzemeltetői figyelmen kívül hagyták a fenyegetést, végül nyilvánosan is közzétette azt. A szakértő szerint a több platformot is fenyegető sebezhetőség teljes kiaknázása nagyjából 100 ezer dollárjába kerülne a támadóknak - a projekt legdrágább része a megfelelő TLS tanúsítvány megszerzése lenne. Ahogy a kutató fogalmaz, nehéz, de nem lehetetlen feladatról van szó.

A biztonsági rés ugyanakkor rövidesen bezárul, azt a Mozilla a szeptember 20-án érkező stabil verzióban foltozza.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról

haláleset

1

Meghalt a Samsung elnöke

2020. október 26. 12:08

A vitatott módszereiről híres vezetőt 78 éves korában, többéves kórházi ápolás után érte a halál.