Szerző: Hlács Ferenc

2016. szeptember 20. 09:30:00

Kritikus sebezhetőséget foltoz a Mozilla

Komoly biztonsági hiba ütötte fel a fejét a Firefoxban, a böngészőben talált sebezhetőséget kihasználva támadók közbeékelődéses "man-in-the-middle" támadást intézhetnek a kiszemelt áldozatok ellen - a hiba ráadásul az anonim Tor online hálózatot is érinti.

A frissen nyilvánosságra hozott biztonsági résen keresztül potenciális támadók egy érvényes, a Mozilla online kiegészítőboltjához, azaz az addons.mozilla.org-hoz tartozó tanúsítvány birtokában, magukat hiteles Mozilla-szervereknek álcázva kommunikálhatnak az áldozat számítógépével, amelyre aztán kártékony kiegészítő-frissítéseket is kiküldhetnek. A lépéssel akár tetszőleges kódfuttatásra is lehetőség nyílhat a célba vett eszközön. Ryan Duff független biztonsági szakértő szerint a támadás végrehajtásához szükséges erőforrások bármely megfelelően felszerelt állami szerv számára rendelkezésre állnak.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

A The Register által idézett Georg Koppen, a Tor egyik fejlesztője szerint a szoftver beépített tanúsítvány-pinning megoldásai sem kifogástalanok. Utóbbiak a hamis tanúsítványok kiszűrésére szolgálnak azáltal, hogy a fejlesztők kvázi alkalmazásaikba drótozzák azokat, így amennyiben a kommunikáció a támadó szerverei felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között. Ahogy Koppen fogalmaz, egy érvényes tanúsítvány megszerzése a Mozilla szoftveréhez továbbra sem könnyű feladat, ugyanakkor "bőven elérhető" cél egy olyan szervezet számára, mint a korábban említett állami szervek.

A sebezhetőség az ugyancsak Firefoxra építő Tor Browser, a kifejezetten a Tor hálózat elérésére használt böngésző felhasználóit is érinti, akik ellen kiterjedt támadás hajtható végre vele, az áldozatok ráadásul akár különböző szempontok alapján is szűrhetők vagy kiválaszthatók, mint a böngészőben telepített nyelvi csomag, a publikus IP cím, netán a tárolt cookie-k vagy keresési előzmények.

A lehetséges támadást az online Movrcx néven futó biztonsági kutató vázolta fel, először privát jelentésben, majd miután a Tor Project üzemeltetői figyelmen kívül hagyták a fenyegetést, végül nyilvánosan is közzétette azt. A szakértő szerint a több platformot is fenyegető sebezhetőség teljes kiaknázása nagyjából 100 ezer dollárjába kerülne a támadóknak - a projekt legdrágább része a megfelelő TLS tanúsítvány megszerzése lenne. Ahogy a kutató fogalmaz, nehéz, de nem lehetetlen feladatról van szó.

A biztonsági rés ugyanakkor rövidesen bezárul, azt a Mozilla a szeptember 20-án érkező stabil verzióban foltozza.

a címlapról

Hirdetés

Python everywhere!

2020. február 25. 01:18

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.

Aggasztó adatok?

6

Elvan a gyerek, ha mobilozik

2020. február 24. 09:46

Aggódnak érte, mégis engedik a hazai fiatal felnőtt szülők gyerekeinek az okoseszköz-használatot.