Xakep #305. Многошаговые SQL-инъекции
Разработчики Tor Project представили новую версию браузера Tor (6.0.5), в которой была устранена критическая уязвимость, касающаяся работы с TLS -сертификатами. Как ни странно, с исправлением данной бреши они опередили специалистов Mozilla, которые обещают закрыть ту же проблему в браузере Firefox во вторник, 20 сентября 2016 года.
Как сообщили разработчики Tor, обнаруженная уязвимость присутствует не только в их браузере, но и в Mozilla Firefox, на базе которого и построен браузер Tor. Хотя в ночных сборках Firefox попытка устранить баг была предприняла еще 4 сентября 2016 года, проблема пока сохранилась в других сборках.
Баг был обнаружен экспертом по информационной безопасности, известным как @movrcx, а затем подтвержден и подробно описан еще одним экспертом, Райаном Даффом (Ryan Duff).
Уязвимость связана с тем, как Firefox осуществляет привязку сертификатов (certificate pinning), так как в браузере Mozilla данный механизм отличается от одобренного IETF стандарта HPKP. Специалисты поясняют, что уязвимость делает возможной довольно сложную man-in-the-middle атаку. Злоумышленник, который сумеет заполучить работающий сертификат для addons.mozilla.org, сможет выдать себя за официальный сервер Mozilla и поставить пользователям вредоносное обновление для дополнений. Всё это может привести к удаленному исполнению произвольного кода и другим серьезным проблемам. К примеру, атака может осуществляться на аддоны NoScript или HTTPS Everywhere, которые являются ключевыми для браузера Tor, и в итоге пользователи защищенного браузера будут скомпрометированы.
Хотя разработчики Tor признают, что достать такой сертификат непросто, подобные атаки все же возможны и могут применяться правительствами или группами профессиональных хакеров. По мнению @movrcx, запуск подобной атаки обойдется атакующим как минимум в $100 000.
Райан Дафф вообще высказал мнение, что разработчикам пора пересмотреть политику обновлений для дополнений:
«Полагаю, им стоит в целом изменить политику работы с дополнениями. По-моему, это просто смешно, что механизм авто-обновлений Mozilla используется для работы с расширениями. Если в обновление NoScript или HTTPS Everywhere добавиться новая уязвимость, не пройдет и дня, как все пользователи Tor будут уязвимы. Также принимая во внимание паранойю, которой, похоже, страдает их организация, можно было бы предположить, что Mozilla могут вынудить раздать вредоносные обновления для дополнений определенным пользователям Tor, что может стать огромной проблемой».
Разработчики Mozilla, в свою очередь, сообщили, что данная критическая уязвимость будет устранена в Firefox 49 в ближайший вторник, 20 сентября 2016 года.