Szerző: Hlács Ferenc

2016. szeptember 20. 09:30

Kritikus sebezhetőséget foltoz a Mozilla

Komoly biztonsági hiba ütötte fel a fejét a Firefoxban, a böngészőben talált sebezhetőséget kihasználva támadók közbeékelődéses "man-in-the-middle" támadást intézhetnek a kiszemelt áldozatok ellen - a hiba ráadásul az anonim Tor online hálózatot is érinti.

HIRDETÉS

A frissen nyilvánosságra hozott biztonsági résen keresztül potenciális támadók egy érvényes, a Mozilla online kiegészítőboltjához, azaz az addons.mozilla.org-hoz tartozó tanúsítvány birtokában, magukat hiteles Mozilla-szervereknek álcázva kommunikálhatnak az áldozat számítógépével, amelyre aztán kártékony kiegészítő-frissítéseket is kiküldhetnek. A lépéssel akár tetszőleges kódfuttatásra is lehetőség nyílhat a célba vett eszközön. Ryan Duff független biztonsági szakértő szerint a támadás végrehajtásához szükséges erőforrások bármely megfelelően felszerelt állami szerv számára rendelkezésre állnak.

HUAWEI MateBook 14: a laptop, ami nagyobb önmagánál (x)

A cég újdonsága leginkább kijelzőjével és ötletes megoldásaival emelkedik ki a mezőnyből.

HUAWEI MateBook 14: a laptop, ami nagyobb önmagánál (x) A cég újdonsága leginkább kijelzőjével és ötletes megoldásaival emelkedik ki a mezőnyből.

A The Register által idézett Georg Koppen, a Tor egyik fejlesztője szerint a szoftver beépített tanúsítvány-pinning megoldásai sem kifogástalanok. Utóbbiak a hamis tanúsítványok kiszűrésére szolgálnak azáltal, hogy a fejlesztők kvázi alkalmazásaikba drótozzák azokat, így amennyiben a kommunikáció a támadó szerverei felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között. Ahogy Koppen fogalmaz, egy érvényes tanúsítvány megszerzése a Mozilla szoftveréhez továbbra sem könnyű feladat, ugyanakkor "bőven elérhető" cél egy olyan szervezet számára, mint a korábban említett állami szervek.

A sebezhetőség az ugyancsak Firefoxra építő Tor Browser, a kifejezetten a Tor hálózat elérésére használt böngésző felhasználóit is érinti, akik ellen kiterjedt támadás hajtható végre vele, az áldozatok ráadásul akár különböző szempontok alapján is szűrhetők vagy kiválaszthatók, mint a böngészőben telepített nyelvi csomag, a publikus IP cím, netán a tárolt cookie-k vagy keresési előzmények.

A lehetséges támadást az online Movrcx néven futó biztonsági kutató vázolta fel, először privát jelentésben, majd miután a Tor Project üzemeltetői figyelmen kívül hagyták a fenyegetést, végül nyilvánosan is közzétette azt. A szakértő szerint a több platformot is fenyegető sebezhetőség teljes kiaknázása nagyjából 100 ezer dollárjába kerülne a támadóknak - a projekt legdrágább része a megfelelő TLS tanúsítvány megszerzése lenne. Ahogy a kutató fogalmaz, nehéz, de nem lehetetlen feladatról van szó.

A biztonsági rés ugyanakkor rövidesen bezárul, azt a Mozilla a szeptember 20-án érkező stabil verzióban foltozza.

A Beckhoff ultrakompakt, C6025 típusú ipari PC az Intel Core i processzorcsalád nagy számítási teljesítményével rendelkezik, ventilátor nélküli, kisméretű kivitelben. A rendkívül alacsony fogyasztású, új Intel Core i U processzorok teszik mindezt lehetővé.

a címlapról

Hirdetés

Csúcstechnológia pár koppintással: ezt tudja a Huawei nova 9

2021. december 4. 05:16

Manapság egyre-másra jelennek meg olyan új mobilok, amelyek hihetetlen funkciókat ígérnek, de ezeket szinte műszaki diplomával lehet csak előcsalogatni. A HUAWEI nova 9 igazi ereje abban rejlik, milyen egyszerű előcsalogatni a mobil tudását.