关注网络安全
和行业未来

火狐浏览器被爆存在中间人攻击漏洞

一个关键漏洞驻留在Mozilla火狐浏览器的完全修补版本中,这使得拥有足够多资源的攻击者可以对其发动“中间人”攻击,并侵入匿名网络Tor。周五,Tor项目组发布了Tor浏览器6.0.5版本,修复了浏览器的HTTPS证书绑定系统中的问题,但Mozilla仍需对火狐浏览器中的关键漏洞进行修补。

firefox-tor

攻击者可以发布假冒的Tor和火狐插件更新

由于该漏洞的存在,能够获得伪造的addons.mozilla.org证书的“中间人”攻击者就可以假冒Mozilla服务器,从而为安装在目标计算机上的NoScript、HTTPS Everywhere和其他火狐浏览器扩展程序发布恶意更新。

“这可能导致任意代码执行漏洞,”Tor项目组官员在一个报告中警告。“此外,其他的内置证书绑定也会受到影响。”

尽管从数百家受火狐信任的证书颁发机构获得一个伪造的addons.mozilla.org证书难度很大,但那些有着国家政府背景的强大攻击者仍能做到这一点。

最初,这些漏洞是由一个叫@movrcx的安全专家在星期二发现的。他描述了这些针对Tor的攻击并估计,攻击者可能需要10万美元来发动这种多平台攻击。

目前火狐浏览器证书绑定程序中存在的问题

但是,根据独立安全研究者Ryan Duff星期二发布的报告,该问题已经影响到火狐浏览器稳定版,尽管9月4日发布的版本并未被波及。

Duff说,目前问题存在于火狐浏览器用于处理“证书绑定”的可定制方法中,这种绑定不同于IETF批准的HPKP (HTTP公钥绑定)标准。

“证书绑定”是一种HTTPS特性,可以确保用户浏览器对某个域或子域只接受特定证书密钥,而对其他密钥全部拒绝,这可以防止用户受到通过伪造SSL证书发起的攻击。

虽然HPKP标准还不是太普及,但一些处理敏感信息的网站还是会经常使用它。

“火狐浏览器用其特有的静态密钥绑定方法来进行Mozilla验证,而不使用HPKP,”Duff说。“执行这种静态方法看起来比HPKP方法要弱得多,而且当遇到这种攻击的时候,可能会被攻击者绕过。”

Mozilla计划于9月20日发布火狐浏览器49版本,所以他们的团队有足够的时间来进行修补。这个bug在网上被披露出来后,Tor项目组仅用了一天时间对付它。

Tor浏览器用户应该更新到6.0.5版本,而火狐浏览器用户则应将默认打开的插件自动更新功能关闭,或者考虑使用其他浏览器,直到Mozilla发布更新为止。

来源:The Hacker News

评论 抢沙发