کمیته رکن چهارم – موزیلا فایرفاکس یک اصلاحیه جدید برای اصلاح یک رخنه رمزگذاری وب که می تواند باعث شود تا وب سایت های مخرب بررسی صحت گواهینامه ها را دور زنند دریافت کرد.
به گزارش کمیته رکن چهارم،هفته گذشته، شرکت موزیلا مرورگر فایرفاکس نسخه ۳۷٫۰ را معرفی کرد. این نسخه از پروتکل HTTP/2 و استاندارد Internet که باعث می شود ارتباطات وب حتی زمانیکه HTTPS استفاده نمی شود رمزگذاری شوند پشتیبانی می کند. یکی از ویژگی های آن HTTP Alternative Services می باشد که به عنوان Alt-Svc شناخته می شود و یک رمزگذاری انتها به انتها را بین صفحات الزام می کند.
ارتباطات Alt-Svc با رایانه یا دستگاه تلفن همراه، یک مسیر جایگزین را برای دسترسی به صفحات وب پیشنهاد می دهد. امنیت این روش مانند HTTPS نیست اما بهتر از روش HTTP می باشد.
متاسفانه در حالیکه آخرین به روز رسانی های فایرفاکس برای ارتقاء امنیت طراحی شده بود، مشکل بحرانی جدیدی نیز شناسایی شد که به محققان اجازه داد تا راهی را بیابند که درصورتیکه یک وب سرور بازدیدکنندگان را از طریق سیستم HTTP/2 هدایت کندبتوانند بررسی صحت گواهینامه ها را دور زنند.
در راهنمایی امنیتی اولیه موزیلا انی رخنه امنیتی در رده امنیتی بحرانی قرار گرفت. این مشکل باعث می شود تا مهاجمان بتوانند بررسی صحت گواهینامه SSL را دور زنند. در نتیجه هشدارهای مربوط به نامعتبر بودن گواهینامه ها نشان داده نمی شود و هکری می تواند به طور بالقوه از یک حمله MitM استفاده کند و داده ها را به سرقت ببرد یا بدافزاری را بر روی سیستم نصب نماید.
در گزارش تیم Sophos Naked آمده است که این مشکل پس از شناسایی به سرعت رفع شده است. هم چینن این تیم اشاره کرد که پروتکل HTTPS/2 هنوز به مرحله نهایی نرسیده است و به طور گسترده مورد استفاده قرار نمی گیرد.
شرکت موزیلا هر شش هفته مرورگر فایرفاکس را به روز رسانی می کند. فایرفاکس برای رفع این مشکل به طور خودکار به نسخه ۳۷٫۰٫۱ ارتقاء می یابد یا کاربران می توانند به صورت دستی مرورگر خود را به آخرین نسخه به روز رسانی نمایند.
منبع:رسانه خبری امنیت اطلاعات
