Mozilla lanza una actualización de Firefox para hacer frente a la vulnerabilidad de ejecución de código remoto multiplataforma recientemente parcheado en el navegador Tor
El Tor está invitando a sus usuarios para instalar la actualización de seguridad con urgencia, y Mozilla sigue de cerca tan pronto como sea posible.
Mozilla lanzará el arreglo el martes 20 de septiembre, la falla podría ser explotada por atacantes para lanzar un ataque man-in-the-middle mediante la suplantación de servidores de Mozilla a través forjado certificado.
De acuerdo con la torproject, una vez que el atacante está en la posición para lanzar un MITM y él es capaz de forjar un único certificado TLS para addons.mozilla.org, podría inyectar en la actualización maliciosa tráfico para NoScript o muchas otras extensiones de Firefox instalado en un equipo de destino.
El certificado falso tendría que ser emitido por cualquiera de las diversas autoridades de certificación de confianza-Firefox (CA). Ese tipo de ataque no es fácil de llevar en un atacante común que sería capaz de forjar un certificado para addons.mozilla.org.
De todos modos, existe el riesgo concreto de que un actor de un atacante persistente podría aprovechar la vulnerabilidad para lanzar un ataque y espiar el tráfico protegido o anonimizar de-usuarios de Tor.
Atacantes persistentes podrían dirigirse a una entidad de certificación con la intención específica de falsificar certificados digitales falsificados. En 2011, los piratas informáticos presuntos vínculos con el Gobierno iraní hackeado la autoridad competente neerlandesa DigiNotar y emitieron certificados falsos para obtener más cientos de dominios, incluyendo el subdominio Mozilla complementos
El investigador de seguridad Ryan Duff explicó que las versiones de producción de Firefox se ven afectados por la falla, de todos modos, una versión nightly build publicado el 4 de septiembre no es vulnerable.
Segun Ryan Duff: "Firefox utiliza su propio método de colocación de clave estática por su propio CERT Mozilla en lugar de utilizar HPKP. La aplicación del método estático parece ser mucho más débil que el método HPKP y es defectuoso hasta el punto de que es bypassable en este caso de un ataque. El error parece estar fijo a partir del 4 de septiembre nightly build de Firefox, pero es, evidentemente, todavía esta sin parchear, tanto en las versiones actuales de producción de Firefox y Tor Browser ".
Duff analizó la RCE multiplataforma y se reproduce el hack descrito por el investigador @movrcx , que definen a sí mismo como y "anti-torcorp insurgente." @movrcx Explica en su análisis titulado " Tor Browser que el "certificado de colocación de claves mecanismo de" implementado por Firefox era ineficaz contra el ataque descrito en este post.
"Hemos investigado esto y una solución se emitirán en la próxima versión de Firefox el martes, 20 de septiembre habíamos solucionado un problema con la automatización roto en la edición para desarrolladores el 4 de septiembre, pero la colocación de claves y certificados había expirado para los usuarios de nuestra liberación y Soporte Extendido versiones de estreno. " declaración emitida por Mozilla. "Vamos a poner en ON HPKP en el propio servidor addons.mozilla.org para que los usuarios estarán protegidos una vez que han visitado el sitio, incluso si la incorporada en pasadores expiran. Vamos a cambiar nuestros procesos internos de manera integrada pasadores de certificados no vencen antes de tiempo en futuras versiones ".
