В новом обновлении Mozilla Firefox 37.0.1 деактивирована функция альтернативного шифрования, представленная в версии браузера Firefox 37. По информации портала eWEEK, отключение является временным решением и связано с уязвимостью в реализации поддержки HTTP/2 Alternative Services (Alt-Svc).
Как указывается в бюллетене безопасности Mozilla, брешь позволяет обойти проверку SSL-сертификатов при установке защищенного HTTPS-соединения, открывая двери для атак «человек посередине». Атака осуществляется посредством проведения манипуляций с заголовком Alt-Svc, что позволяет задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. В результате, уведомления о недействительных SSL-сертификатах отображаться не будут, благодаря чему злоумышленник может заменить оригинальный сертификат на свой собственный.
По словам руководителя отдела по контролю за качеством продукции Mozilla Чеда Вейнера (Chad Weiner), альтернативное шифрование является отдельной функцией, связанной с Alt-Svc, по этой причине она на данный момент отключена. Вейнер отметил, что, чем исправлять проблему на скорую руку, компания предпочла в качестве быстрого и безопасного решения просто деактивировать Alt-Svc. Функционал будет восстановлен после того, как специалисты компании тщательно изучат проблему.
Пока не ясно, когда функция будет вновь активирована. Не исключено, что она появится только в новой версии Firefox 38, релиз которой запланирован на 12 мая этого года.
первоисточник:
Как указывается в бюллетене безопасности Mozilla, брешь позволяет обойти проверку SSL-сертификатов при установке защищенного HTTPS-соединения, открывая двери для атак «человек посередине». Атака осуществляется посредством проведения манипуляций с заголовком Alt-Svc, что позволяет задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. В результате, уведомления о недействительных SSL-сертификатах отображаться не будут, благодаря чему злоумышленник может заменить оригинальный сертификат на свой собственный.
По словам руководителя отдела по контролю за качеством продукции Mozilla Чеда Вейнера (Chad Weiner), альтернативное шифрование является отдельной функцией, связанной с Alt-Svc, по этой причине она на данный момент отключена. Вейнер отметил, что, чем исправлять проблему на скорую руку, компания предпочла в качестве быстрого и безопасного решения просто деактивировать Alt-Svc. Функционал будет восстановлен после того, как специалисты компании тщательно изучат проблему.
Пока не ясно, когда функция будет вновь активирована. Не исключено, что она появится только в новой версии Firefox 38, релиз которой запланирован на 12 мая этого года.
первоисточник:
Для просмотра ссылки необходимо нажать
Вход или Регистрация