موزیلا فایرفاکس یک اصلاحیه جدید برای اصلاح یک رخنه رمزگذاری وب که سبب میشود وب سایتهای مخرب بررسی صحت گواهینامهها را دور بزنند دریافت کرد.
این نسخه از پروتکل HTTP/2 و استاندارد Internet که باعث می شود ارتباطات وب حتی زمانیکه HTTPS استفاده نمی شود رمزگذاری شوند پشتیبانی می کند.
یکی از ویژگی های این مرورگر HTTP Alternative Services است که باعث الزام در رمزگذاری انتها به انتها بین صفحات می شود.
ارتباطات Alt-Svc با رایانه یا دستگاه تلفن همراه، یک مسیر جایگزین را برای دسترسی به صفحات وب پیشنهاد می دهد. امنیت این روش مانند HTTPS نیست اما بهتر از روش HTTP می باشد.
براساس این گزارش، در حالی که آخرین به روز رسانی های فایرفاکس برای ارتقای امنیت طراحی شده بود، مشکل بحرانی جدیدی نیز شناسایی شد که به محققان اجازه داد تا راهی را بیابند که درصورتیکه یک وب سرور بازدیدکنندگان را از طریق سیستم HTTP/2 هدایت کندبتوانند بررسی صحت گواهینامه ها را دور زنند.
در راهنمایی امنیتی اولیه موزیلا انی رخنه امنیتی در رده امنیتی بحرانی قرار گرفت.
این مشکل باعث می شود تا مهاجمان بتوانند بررسی صحت گواهینامه SSL را دور زنند. در نتیجه هشدارهای مربوط به نامعتبر بودن گواهینامه ها نشان داده نمی شود و هکری می تواند به طور بالقوه از یک حمله MitM استفاده کند و داده ها را به سرقت ببرد یا بدافزاری را بر روی سیستم نصب نماید.
در گزارش تیم Sophos Naked آمده است که این مشکل پس از شناسایی به سرعت رفع شده است.
همچینن این تیم اشاره کرد که پروتکل HTTPS/2 هنوز به مرحله نهایی نرسیده است و به طور گسترده مورد استفاده قرار نمی گیرد.
شرکت موزیلا هر شش هفته مرورگر فایرفاکس را به روز رسانی می کند. فایرفاکس برای رفع این مشکل به طور خودکار به نسخه 37.0.1 ارتقاء می یابد یا کاربران می توانند به صورت دستی مرورگر خود را به آخرین نسخه به روز رسانی نمایند.
