شماره: IRCNE2015042470
تاريخ: 01/22/94
موزيلا فايرفاكس يك اصلاحيه جديد براي اصلاح يك رخنه رمزگذاري وب كه مي تواند باعث شود تا وب سايت هاي مخرب بررسي صحت گواهينامه ها را دور زنند دريافت كرد.
هفته گذشته، شركت موزيلا مرورگر فايرفاكس نسخه 37.0 را معرفي كرد. اين نسخه از پروتكل HTTP/2 و استاندارد Internet كه باعث مي شود ارتباطات وب حتي زمانيكه HTTPS استفاده نمي شود رمزگذاري شوند پشتيباني مي كند. يكي از ويژگي هاي آن HTTP Alternative Services مي باشد كه به عنوان Alt-Svc شناخته مي شود و يك رمزگذاري انتها به انتها را بين صفحات الزام مي كند.
ارتباطات Alt-Svc با رايانه يا دستگاه تلفن همراه، يك مسير جايگزين را براي دسترسي به صفحات وب پيشنهاد مي دهد. امنيت اين روش مانند HTTPS نيست اما بهتر از روش HTTP مي باشد.
متاسفانه در حاليكه آخرين به روز رساني هاي فايرفاكس براي ارتقاء امنيت طراحي شده بود، مشكل بحراني جديدي نيز شناسايي شد كه به محققان اجازه داد تا راهي را بيابند كه درصورتيكه يك وب سرور بازديدكنندگان را از طريق سيستم HTTP/2 هدايت كندبتوانند بررسي صحت گواهينامه ها را دور زنند.
در راهنمايي امنيتي اوليه موزيلا اني رخنه امنيتي در رده امنيتي بحراني قرار گرفت. اين مشكل باعث مي شود تا مهاجمان بتوانند بررسي صحت گواهينامه SSL را دور زنند. در نتيجه هشدارهاي مربوط به نامعتبر بودن گواهينامه ها نشان داده نمي شود و هكري مي تواند به طور بالقوه از يك حمله MitM استفاده كند و داده ها را به سرقت ببرد يا بدافزاري را بر روي سيستم نصب نمايد.
در گزارش تيم Sophos Naked آمده است كه اين مشكل پس از شناسايي به سرعت رفع شده است. هم چينن اين تيم اشاره كرد كه پروتكل HTTPS/2 هنوز به مرحله نهايي نرسيده است و به طور گسترده مورد استفاده قرار نمي گيرد.
شركت موزيلا هر شش هفته مرورگر فايرفاكس را به روز رساني مي كند. فايرفاكس براي رفع اين مشكل به طور خودكار به نسخه 37.0.1 ارتقاء مي يابد يا كاربران مي توانند به صورت دستي مرورگر خود را به آخرين نسخه به روز رساني نمايند.
- 2