Нова версия на Firefox премахва поддръжката на OE

0
41


Само дни, след като Mozilla пуснаха Версия 37 на браузъра си Firefox, компанията реши да върне едно от нововъведенията в него. Става дума за характеристика, за която ви информирахме вчера, и за чието въвеждане Mozilla бяха похвалени от специалисти по информационна защита.

От компанията се похвалиха, че с Версия 37 в браузъра се въвежда поддръжката за Opportionistic Encryption (OE). Дни по-късно обаче, много от вас, които ползвате „лисицата“, вероятно сте забелязали, че приложението се самообнови до Версия 37.0.1. Междинното обновление се е наложило, тъй като инженерите от компанията, които се грижат за безопасността на Firefox разбрали, че вместо да донесе със себе си повее криптозащита към мрежата, новата характеристика, която криптира HTTP трафика, в случаите, в които сървърите поддържат HTTP/2 AltSvc, не само не носи повече защита със себе си, ами тъкмо напротив, тъй като причинява проблем при процеса на валидацията на SSL сертификатите. „Изследователят по сигурността Мунеаки Нишимура е открил уязвимост в имплементацията на HTTP Alternative Services от страна на Mozilla. Ако Alt-Svc хедърът е уточнен в HTTP/2 отговора, то верификацията SSL сертификата за конкретния алтернативен сървър би могла да бъде преодоляна. В резултат на това предупреждението за невалиден SSL сертификат няма да бъде показано и атакуваща страна може евентуално да представи зловредна страница за легитимна посредством MiTM (man-in-the-middle) атака, заменяйки оригиналния сертификат с цифров документ, който е подправен от атакуващата страна“, пишат разработчиците от Mozilla в специално издаден бюлетин по повод излизането на междинната версия.

Предвид значимостта на проблема е ясно, че временно решение, което да заобикаля проблема едва ли би било най-доброто решение в случая, и именно поради тази причина хората от Mozilla са предпочели да деактивират поддръжката на OE за момента – докато не бъде намерено трайно решение, изправящо уязвимостта. Така че, ако сте заложили в настройките на браузъра той да се обновява ръчно е добре да наложите по-скоро новата междинна версия.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари