اقدام شرکت موزیلا برای رفع اشکال بحرانی الصاق گواهی‌نامه در مرورگر فایرفاکس ۴۹

۱۸۶۳روز شنبه محققان خبر از وجود یک آسیب‌پذیری بحرانی در کد منبع مرورگر فایرفاکس داده بودند که به یک نفوذگر امکان می‌داد خود را به جای کارگزار موزیلا جا زده و بروزرسانی‌های جعلی را برای افزونه‌ها ارائه کند.

مرورگر Tor نیز که بر مبنای بر یکی از نسخه‌های فایرفاکس است، روز جمعه این آسیب‌پذیری را با عرضه نسخه ۶.۰.۵ رفع کرد. مدیر ارشد بخش مهندسی امنیتی شرکت موزیلا در این خصوص اعلام کرد که تیم مهندسی امنیتی این شرکت اقدام به طراحی وصله‌های لازم برای رفع اشکال بحرانی موجود در فایرفاکس ۴۹ کرده‌اند که در روز سه‌شنبه ۲۰ سپتامبر برای کاربران عرضه خواهد شد.

مشکل اصلی در این آسیب‌پذیری، تفاوت در مکانیسم مرورگر فایرفاکس برای الصاق گواهی‌۱های HTTPS به‌دست‌آمده از کارگزارها با استاندارد صنعتی HPKP است.

الصاق فرآیند ارتباط یک میزبان با گواهی مورد انتظار x۵۰۹ و یا کلید عمومی است. زمانی که یک کلید‌ عمومی یا یک گواهی برای یک میزبان روشن می‌شود، این گواهی یا کلید عمومی برای میزبان مذکور الصاق می‌شود.

در این فرآیند، نفوذگری که بتواند یک گواهی جعلی ولی امضا شده برای mozila.com را در اختیار داشته باشد، می‌تواند به راحتی به‌روزرسانی‌های مخرب مربوط به افزونه‌ها را بدون بروز هیچ‌گونه هشدار و خطا مبنی بر عدم تطابق گواهی استفاده‌شده با گواهی‌های الصاق شده در مرورگر کاربر، به کاربران ارسال کند. مرورگر فایرفاکس در این شرایط تنها اقدام به بررسی دامنه گواهی‌ها کرده و کلیدهای الصاق‌شده مورد بررسی قرار نمی‌گیرند.

شرکت موزیلا طی اطلاعیه‌ای در این خصوص بیان کرد: «به دلیل بروز برخی اشکالات در این فرآیند، این شرکت با به‌روزرسانی «الصاق کلید عمومی از پیش بارگذاری شده » سعی در حل این مشکل داشته است. با توجه به این اقدام، فرآیندهای الصاق به‌روزرسانی‌های مربوط به افزونه‌ها در فایرفاکس ۴۸ که در ۱۰ سپتامبر عرضه شد، غیرفعال خواهند شد. همین شرایط برای ESR نسخه ۴۵.۳.۰ عرضه‌شده در تاریخ ۳ سپتامبر نیز برقرار خواهد بود.»

این شرکت در ادامه اذعان داشت که به منظور جلوگیری از بروز خطرات احتمالی، اقدام به تنظیم کارگزار addons.mozilla.com کرده است تا کلیدهای گواهی الصاق‌شده‌ی کاربران را هر روز به‌روزرسانی کند و از این طریق بهره‌برداری از این اشکال سخت‌تر خواهد شد.

اگرچه بسیاری از کاربران مرورگر فایرفاکس را بدون افزونه‌های موجود در آن مورداستفاده قرار می‌دهند و بدین‌ترتیب در خطر نیستند، اما مرورگر Tor با دو افزونه حیاتی توزیع شده است که حریم شخصی کاربران را حفظ می‌کند.

کاربران این مرورگر باید هر چه سریع‌تر مرورگر خود را به‌روزرسانی کنند. در طرف دیگر، کاربران شرکت موزیلا باید افزونه‌ها و همچنین بخش به‌روزرسانی خودکار آن‌ها را تا روز سه‌شنبه غیرفعال کنند.

۱. Certificate pinning

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.