Mozilla je objavila rezultate revizije svog VPN klijenta

Prije nekoliko dana Mozilla puštena objavljivanje oglasa završetak neovisne revizije napravljen za klijentski softver koji se koristi za povezivanje s Mozillinom VPN uslugom.

Revizijom je analizirana zasebna klijentska aplikacija napisana s knjižnicom Qt i isporučena za Linux, macOS, Windows, Android i iOS. Mozilla VPN radi s više od 400 poslužitelja švedskog VPN provajdera Mullvad u više od 30 zemalja. Povezivanje s VPN uslugom ostvaruje se pomoću WireGuard protokola.

Reviziju je izvršio Cure53, koja je u jednom trenutku revidirala projekte NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Slušni uključivalo provjeru izvornog koda i uključivalo testiranje radi identificiranja potencijalnih ranjivosti (Pitanja vezana uz kripto nisu razmatrana). Tijekom revizije identificirano je 16 sigurnosnih problema, od kojih je 8 bilo preporučljivog tipa, 5 je dodijeljeno niskoj razini opasnosti, dva - srednjoj i jednoj - visokoj.

Mozilla je danas objavila neovisnu sigurnosnu reviziju svog Mozilla VPN-a, koja pruža šifriranje na razini uređaja i zaštitu vaše veze i informacija na webu, od Cure53, nepristrane tvrtke za kibernetičku sigurnost sa sjedištem u Berlinu s više od 15 godina rada. testiranje softvera i revizija koda. Mozilla redovito surađuje s organizacijama trećih strana kako bi nadopunila naše programe unutarnje sigurnosti i pomogla poboljšati ukupnu sigurnost naših proizvoda. Tijekom neovisne revizije otkrivena su dva pitanja srednje ozbiljnosti i jedno velike težine. Obratili smo im se u ovom postu na blogu i objavili izvješće o reviziji sigurnosti.

Međutim, spominje se da samo problem sa srednjom razinom ozbiljnosti je klasificiran kao ranjivost, budući dae bio je jedini koji se mogao iskoristiti i izvješće opisuje da je ovaj problem procurio informacije o korištenju VPN -a u kôd za definiranje zarobljenog portala slanjem nešifriranih izravnih HTTP zahtjeva izvan VPN tunela izlažući primarnu IP adresu korisnika ako napadač može kontrolirati tranzitni promet. Također, izvješće spominje da je problem riješen onemogućavanjem načina otkrivanja zarobljenog portala u postavkama.

Od lansiranja prošle godine, Mozilla VPN, naša brza i jednostavna za korištenje usluga virtualne privatne mreže, proširila se na sedam zemalja, uključujući Austriju, Belgiju, Francusku, Njemačku, Italiju, Španjolsku i Švicarsku, za ukupno 13 zemalja . gdje je dostupan Mozilla VPN. Također smo proširili ponudu VPN usluga i sada je dostupna na Windows, Mac, Linux, Android i iOS platformama. Na kraju, naš popis jezika koje podržavamo nastavlja rasti i do danas podržavamo 28 jezika.

S druge strane drugi problem koji je pronađen je u razini srednje ozbiljnosti a povezano je s nedostatkom pravilnog čišćenja numeričkih vrijednosti u broju porta, što omogućuje filtriranje parametara OAuth provjere autentičnosti zamjenom broja porta nizom poput "1234@example.com", što će dovesti do postavljanja HTML oznaka za postavljanje zahtjeva pristupom domeni, na primjer example.com umjesto 127.0.0.1.

Treći problem, označen kao opasan spomenuto u izvješću, opisano je da To omogućuje svakoj neautentificiranoj lokalnoj aplikaciji pristup VPN klijentu putem WebSocketa vezanog za localhost. Kao primjer, prikazano je kako bi s aktivnim VPN klijentom bilo koje web mjesto moglo organizirati stvaranje i isporuku snimke zaslona generiranjem događaja screen_capture.

Problem nije klasificiran kao ranjivost jer se WebSocket koristio samo u internim testnim verzijama, a upotreba ovog komunikacijskog kanala planirana je tek u budućnosti za organizaciju interakcije s dodatkom za preglednik.

Konačno ako vas zanima više o tome O izvješću koje je objavila Mozilla možete se obratiti u pojedinosti na sljedećem linku.


3 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   400 Spartanaca dijo

    Revizija nije bitna. Imaju samo 400 poslužitelja, to je smiješno, bez obzira na to koliko revizije prolazite ako imate samo 400 poslužitelja, u usporedbi s 3000-6000 koje VPN-ovi imaju kako je Bog zamislio, dobro. Mozilla vpn je kakarruta s odbrojenim danima.

    1.    Frank castle dijo

      Uvijek prvi na vrhu u zemljama prvog svijeta.

  2.   Kajin dijo

    @ 400 Spartanaca:
    Mozilla nema instalirane vlastite VPN poslužitelje, oni koriste mrežu Mullvad (kao da su poslužitelje iznajmili od drugog davatelja usluga). Revizija je važna!