mercoledì 21 settembre 2016

Firefox e Tor sono risultati vulnerabili ad un attacco del tipo Man-in-the-middle.


Una vulnerabilità critica è stata trovata in tutte le versioni del browser Firefox di Mozilla che potrebbe consentire attacchi di tipo man-in-the-middle (quando cioè qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro): lo stesso problema  riguardava anche la rete Tor. Quest’ultimo ha già risolto il problema rilasciando la versione 6.0.5 del browser mentre Mozilla non ha ancora rilasciato nessuna patch per risolvere il problema.


Gli attaccanti possono distribuire falsi aggiornamenti per Firefox e Tor.
La vulnerabilità consente ad un attaccante MITM capace di ottenere un certificato falso per addons.mozzilla.org di impersonare il server di Mozilla e, come risultato, di distribuire update dannosi per NoScript, HTTPS Everywhere o altre estensioni di Firefox installate sul computer bersaglio.

Il problema reale sta nei certificati di pinning di Firefox.
Il problema riguarda tutte le versioni di Firefox. I ricercatori di sicurezza affermano che il problema risiede nel metodo di gestione personalizzato di Firefox del “certificato di pinning”: il certificato di pinning è una caratteristica del HTTPS che assicura che il browser utilizzato dall'utente accetti solo specifiche chiavi di certificato provenienti da specifici domini e, invece, rifiuti tutte le altre con lo scopo di prevenire che gli utenti siano vittime di attacchi da falsi certificati SSL.

Mozilla ha in programma di rilasciare Firefox 49 a fine settembre: il team avrà quindi abbastanza tempo per fornire una correzione. Nel frattempo gli utenti di Firefox possono prendere due strade: o disabilitare tutti gli aggiornamenti automatici add-on oppure considerare l’utilizzo di un altro browser finché Mozilla non avrà rilasciato l’aggiornamento.

Gli sviluppatori di Tor hanno invece già risolto il problema e per gli utenti di questo browser sarà sufficiente aggiornare alla versione 6.0.5.

Nessun commento:

Posta un commento