一个关键漏洞驻留在Mozilla火狐浏览器的完全修补版本中,这使得拥有足够多资源的攻击者可以对其发动“中间人”攻击,并侵入匿名网络Tor。Tor项目组发布了Tor浏览器6.0.5版本,修复了浏览器的HTTPS证书绑定系统中的问题,但Mozilla仍需对火狐浏览器中的关键漏洞进行修补。
由于该漏洞的存在,能够获得伪造的addons.mozilla.org证书的“中间人”攻击者就可以假冒Mozilla服务器,从而为安装在目标计算机上的NoScript、HTTPS Everywhere和其他火狐浏览器扩展程序发布恶意更新。
“这可能导致任意代码执行漏洞,”Tor项目组官员在一个报告中警告。“此外,其他的内置证书绑定也会受到影响。”
尽管从数百家受火狐信任的证书颁发机构获得一个伪造的addons.mozilla.org证书难度很大,但那些有着国家***背景的强大攻击者仍能做到这一点。
最初,这些漏洞是由一个叫@movrcx的安全专家在星期二发现的。他描述了这些针对Tor的攻击并估计,攻击者可能需要10万美元来发动这种多平台攻击。
但是,根据独立安全研究者Ryan Duf发布的报告,该问题已经影响到火狐浏览器稳定版,尽管9月4日发布的版本并未被波及。
Duff说,目前问题存在于火狐浏览器用于处理“证书绑定”的可定制方法中,这种绑定不同于IETF批准的HPKP (HTTP公钥绑定)标准。
“证书绑定”是一种HTTPS特性,可以确保用户浏览器对某个域或子域只接受特定证书密钥,而对其他密钥全部拒绝,这可以防止用户受到通过伪造SSL证书发起的攻击。
虽然HPKP标准还不是太普及,但一些处理敏感信息的网站还是会经常使用它。
“火狐浏览器用其特有的静态密钥绑定方法来进行Mozilla验证,而不使用HPKP,”Duff说。“执行这种静态方法看起来比HPKP方法要弱得多,而且当遇到这种攻击的时候,可能会被攻击者绕过。”
猜你喜欢
