Mozilla zamknęła wybuchowe luki w zabezpieczeniach przeglądarki Firefox dzięki aktualizacji. Jeden z nich dotyczy metody szyfrowania, która została niedawno wprowadzona w wersji 37. Druga luka dotyczy wersji przeglądarki na Androida. Atakujący mogą rejestrować ruch internetowy za pomocą obu luk, a tym samym kraść hasła lub inne wrażliwe dane. Dotyczy to wszystkich wersji Firefoksa dla systemów Linux, Mac OS X, Windows i Android.

Uwolnij okna od kosmicznych wieprzów i hamulców systemowych

Zaledwie kilka dni temu Mozilla wprowadziła nową metodę szyfrowania w wersji 37 swojej popularnej przeglądarki. Dzięki tak zwanemu „szyfrowaniu oportunistycznemu” połączenia ze stronami internetowymi i usługami, które w innym przypadku nie byłyby szyfrowane, mogą być szyfrowane. Użyto do tego HTTP / 2, alternatywnej usługi Mozilli.

Alternatywna usługa HTTP Mozilli jest niejednolita

Badacz bezpieczeństwa Muneaki Nishimura odkrył „krytyczną” lukę (CVE-2015-0799) w „szyfrowaniu oportunistycznym”. Wykorzystując tak zwany atak „man-in-the-middle”, hakerzy mogą przełączać się między urządzeniem użytkownika a serwerem internetowym, z którym się skontaktowali. Atakujący mogą ominąć sprawdzanie certyfikatu, który gwarantuje autentyczność usługi internetowej.

W ten sposób przeglądarka może zostać oszukana, tak aby pomyślała, że ​​połączyła się na przykład ze zweryfikowanym sklepem internetowym – ale dane w rzeczywistości przepływają przez serwer internetowy należący do cyberprzestępców. Mogą następnie szpiegować dane, a nawet przemycać złośliwy kod na zaatakowany komputer.

Mozilla tylko tymczasowo rozwiązała ten problem i po prostu dezaktywuje nową usługę szyfrowania wraz z aktualizacją Firefoksa 37.0.1. Tak więc prawdziwa luka nie została jeszcze zamknięta.

Wersja Firefoksa na Androida z kolejną luką

Drugi wyciek bezpieczeństwa dotyczy wersji Firefoksa na Androida, przeglądarki dla smartfonów i tabletów. Przeglądarka mobilna ma tryb czytania, który ułatwia czytanie tekstów online.

Jednak tak zwane uprzywilejowane adresy internetowe mogą być przekazywane do trybu odczytu, co faktycznie omija obowiązujące ograniczenia. Wraz z inną luką umożliwiłoby to wykonanie szkodliwego kodu na smartfonach i tabletach.

Mozilla sklasyfikowała lukę jako „wysoką”, co stanowi drugi najwyższy poziom w skali obaw po „krytycznej”. Użytkownicy wersji mobilnej powinni również natychmiast zaktualizować Firefoksa.

Jak zaktualizować Firefoksa

W notebookach i komputerach stacjonarnych Firefox zwykle aktualizuje się automatycznie po ponownym uruchomieniu przeglądarki. Instalację można również zainicjować ręcznie, klikając opcję „O Firefoksie” w menu „Pomoc” (kombinacja klawiszy: „Alt” -> „H” -> „E”).

Aktualizacja Firefoksa odbywa się również automatycznie na smartfonach i tabletach, chyba że wyłączyłeś funkcję automatycznej aktualizacji w Androidzie. W takim przypadku możesz pobrać najnowszą wersję aplikacji Firefox z Google Play lub ponownie zezwolić na „Automatyczne aktualizacje aplikacji”. W tym drugim przypadku otwórz menu „Moje aplikacje” w Google Play, a następnie „Ustawienia”. Za pomocą wpisu „Automatyczne aktualizacje aplikacji” możesz określić, czy i kiedy zezwalasz na aktualizacje oprogramowania.

Więcej ekscytujących tematów cyfrowych znajdziesz tutaj.