Firefox lukker seks sikkerhedshuller

Artiklen blev oprindeligt publiceret den 3/9/2014

Mozilla har lukket seks sikkerhedshuller i Firefox og Thunderbird. Samtidig får browseren certifikat-pinning, der mindsker risikoen for man-in-the-middle-angreb.

Tre af de seks sårbarheder har fået firmaets højeste risikovurdering. Fejlene er rettet i Firefox 32, Firefox ESR 24.8, Firefox ESR 31.1, Thunderbird 31.1 og Thunderbird 24.8.

Certifikat-pinning går ud på, at browseren ved, hvilke certificeringcentre (CA'er), der har ret til at udstede certifikater til et givet domæne. Derfor har den ikke tillid til et ellers gyldigt certifikat, hvis det er udstedt af en forkert myndighed – for eksempel fordi vedkommende er blevet hacket.

Den indbyggede pinning-liste i Firefox 32 rummer Twitter- og Mozilla-domæner. I senere versioner følger domæner fra google, Firefox, Tor og Dropbox.

Der er ingen oplysninger om sikkerhedsrettelser til SeaMonkey i denne omgang. Udviklerne af SeaMonkey har netop udsendt SeaMonkey 2.29 Beta 2.

Anbefaling
Genstart Firefox for at opdatere.

Links

• Security Advisories for Firefox
• Public key pinning released in Firefox, blogindlæg fra Mozilla
• SecurityEngineering/Public Key Pinning, Mozilla Wiki