Kritikus sebezhetőséget foltoz a Mozilla
Komoly biztonsági hiba ütötte fel a fejét a Firefoxban, a böngészőben talált sebezhetőséget kihasználva támadók közbeékelődéses "man-in-the-middle" támadást intézhetnek a kiszemelt áldozatok ellen - a hiba ráadásul az anonim Tor online hálózatot is érinti.
A frissen nyilvánosságra hozott biztonsági résen keresztül potenciális támadók egy érvényes, a Mozilla online kiegészítőboltjához, azaz az addons.mozilla.org-hoz tartozó tanúsítvány birtokában, magukat hiteles Mozilla-szervereknek álcázva kommunikálhatnak az áldozat számítógépével, amelyre aztán kártékony kiegészítő-frissítéseket is kiküldhetnek. A lépéssel akár tetszőleges kódfuttatásra is lehetőség nyílhat a célba vett eszközön. Ryan Duff független biztonsági szakértő szerint a támadás végrehajtásához szükséges erőforrások bármely megfelelően felszerelt állami szerv számára rendelkezésre állnak.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A The Register által idézett Georg Koppen, a Tor egyik fejlesztője szerint a szoftver beépített tanúsítvány-pinning megoldásai sem kifogástalanok. Utóbbiak a hamis tanúsítványok kiszűrésére szolgálnak azáltal, hogy a fejlesztők kvázi alkalmazásaikba drótozzák azokat, így amennyiben a kommunikáció a támadó szerverei felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között. Ahogy Koppen fogalmaz, egy érvényes tanúsítvány megszerzése a Mozilla szoftveréhez továbbra sem könnyű feladat, ugyanakkor "bőven elérhető" cél egy olyan szervezet számára, mint a korábban említett állami szervek.
A sebezhetőség az ugyancsak Firefoxra építő Tor Browser, a kifejezetten a Tor hálózat elérésére használt böngésző felhasználóit is érinti, akik ellen kiterjedt támadás hajtható végre vele, az áldozatok ráadásul akár különböző szempontok alapján is szűrhetők vagy kiválaszthatók, mint a böngészőben telepített nyelvi csomag, a publikus IP cím, netán a tárolt cookie-k vagy keresési előzmények.
A lehetséges támadást az online Movrcx néven futó biztonsági kutató vázolta fel, először privát jelentésben, majd miután a Tor Project üzemeltetői figyelmen kívül hagyták a fenyegetést, végül nyilvánosan is közzétette azt. A szakértő szerint a több platformot is fenyegető sebezhetőség teljes kiaknázása nagyjából 100 ezer dollárjába kerülne a támadóknak - a projekt legdrágább része a megfelelő TLS tanúsítvány megszerzése lenne. Ahogy a kutató fogalmaz, nehéz, de nem lehetetlen feladatról van szó.
A biztonsági rés ugyanakkor rövidesen bezárul, azt a Mozilla a szeptember 20-án érkező stabil verzióban foltozza.