Tor Browser og Firefox lukker hul

Artiklen blev oprindeligt publiceret den 20/9/2016

Et sikkerhedshul gør det muligt at udføre man-in-the-middle-angreb på brugere af Tor Browser og Firefox. Tor har lukket hullet, Mozilla ventes at lukke det i Firefox i dag.

Sårbarheden ligger i browserens procedure til automatisk opdatering af tilføjelser. Browseren henter opdateringer via HTTPS og tjekker, at den henter fra den korrekte server. Men en fejl i certificate pinning-funktionen gør det muligt at få browseren til at have tillid til et falsk certifikat.

For at kunne udnytte sårbarheden skal angriberen få en certifikatudsteder til at udstede et certifikat til opdateringsserveren. Derefter kan der installeres tilføjelser, som udfører skadelig kode i browseren.

Tor rettede fejlen i fredags. Mozilla regner med at udsende en rettelse til Firefox i dag.

Anbefaling
Genstart browseren for at aktivere opdateringen.

Links

• Tor Browser Exposed: Anti-Privacy Implantation at Mass Scale, blogindlæg af Movrcx
• Firefox, Tor Browser Vulnerable to Malicious Add-on Attacks, artikel fra SecurityWeek
• Mozilla Patching Firefox Certificate Pinning Vulnerability, artikel fra Kaspersky Threatpost