Trình duyệt Firefox của Mozilla dễ bị tấn công Man-in-the-Middle

By | 6:01 am | 25/10/2016

Một lỗ hổng nghiêm trọng trên trình duyệt Firefox của Mozilla, nó cho phép kẻ tấn công thực hiện tấn công giả mạo Man-in-the-Middle (MITM) và cũng làm ảnh hưởng đến Tor.

firefox-tor

Kẻ tấn công có thể giả mạo Tor và các bản cập nhật Add-on của Firefox.

Lỗ hổng này cho phép một kẻ tấn công Man-in-the-Middle có thể làm giả một chứng thư số cho addons.mozilla.org để mạo danh máy chủ của Mozilla và kết quả là cung cấp một bản cập nhật độc hại cho NoScript, HTTPS Everywhere hoặc Firefox mở rộng khác được cài đặt trên một máy tính mục tiêu.

  • Tor cảnh báo: “Điều này có thể dẫn đến việc thực thi mã nguồn một cách tùy tiện [gây tổn thương],” . “Hơn nữa, những thông tin khác được xây dựng bên trong chứng thư số cũng bị ảnh hưởng lớn.”

Lỗ hổng này ban đầu được phát hiện vào thứ Ba bởi một chuyên gia bảo mật có tên sử dụng là @movrcx, người đã mô tả các cuộc tấn công chống lại Tor, ước tính kẻ tấn công sẽ cần 100.000$ để khởi động các cuộc tấn công đa nền tảng.

Vấn đề thực tế nằm trong thủ tục Certificate Pinning (thủ tục ghim Chứng thư số) của Firefox.

Theo một bản tin được đăng vào thứ Năm của nhà nghiên cứu bảo mật Ryan Duff, vấn đề này cũng ảnh hưởng đến các phiên bản ổn định của Firefox, mặc dù phiên bản được đưa ra vào ngày 4 Tháng 9 không phải là dễ bị ảnh hưởng.

Duff cho biết vấn đề thực tế nằm trong phương pháp xử lý “Ghim chứng thư số” của Firefox.

  • Certificate Pinning (ghim chứng thư số) là 1 tính năng để chắc chắn rằng trình duyệt của người dùng chỉ chấp nhận một chứng chỉ số cho một tên miền hoặc tên miền phụ cụ thể và từ chối tất cả những người dùng khác, ngăn cản người dùng trở thành nạn nhân của một cuộc tấn công được thực hiện bằng cách giả mạo các chứng thư số SSL.

Trong khi không mấy phổ biến, chuẩn HPKP thường được sử dụng trên các trang web có thể xử lý thông tin nhạy cảm.

  • “Firefox sử dụng phương pháp ghim tĩnh khóa riêng để xác nhận Mozilla thay vì sử dụng HPKP,” Duff nói. “Việc thi hành các phương pháp tĩnh dường như là kém bảo mật hơn nhiều so với phương pháp HPKP và là thiếu sót đến mức mà biến nó trở thành 1 phần trong kịch bản tấn công này.”

Tor đã khắc phục vấn đề HTTPS Certificate Pinning lên trình duyệt người dùng vào thứ 6 với việc phát hành phiên bản Tor 6.0.5, trong khi đó, Mozilla vẫn phải vá trong Firefox.

Người sử dụng trình duyệt Tor nên cập nhật lên phiên bản 6.0.5, trong khi người dùng Firefox nên vô hiệu hóa add-on cập nhật tự động được mặc định trong trình duyệt, hoặc nên xem xét sử dụng một trình duyệt khác cho đến khi Mozilla phát hành bản cập nhật.
Theo: The Hacker News.