Новости и события » Hi-Tech » В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти привязку сертификатов

В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти привязку сертификатов

Разработчики анонимной сети Tor представили новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (ESR-45), которая пока остается неисправленной в Firefox. Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта.

Уязвимость позволяет атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение и добиться выполнения в браузере подставного вредоносного дополнения. Например, можно передать данные о наличии обновления NoScript или HTTPS Everywhere, и при попытке его установки передать вредоносную сборку дополнений.

Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), а для атаки требуется компрометация какого-либо удостоверяющего центра. Т. е. атака не может быть проведена обычными злоумышленниками, но не исключается, что ей могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser.

По материалам:  www.opennet.ru


Украинец Евгений Зукин стал членом Совета Директоров ITF

Украинец Евгений Зукин стал членом Совета Директоров ITF

Украина будет иметь своего представителя в руководстве Международной федерации тенниса. Украинец Евгений Зукин вошел в Совет Директоров Международной федерации тенниса (ITF). "В Сочи на конгрессе ITF прошло голосование в Совет Директоров Tennis подробнее ...

загрузка...

 

Вверх