Разработчики анонимной сети Tor представили новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (ESR-45), которая пока остаётся неисправленной в Firefox (проблема будет устранена в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта.
Уязвимость позволяет атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться выполнения в браузере подставного вредоносного дополнения и получит
...
Читать дальше »