Pár napja Mozilla megjelent közleményének közzététele a független ellenőrzés befejezése olyan ügyfélszoftverhez készült, amelyet a Mozilla VPN -szolgáltatásához való csatlakozáshoz használnak.
Az ellenőrzés egy külön kliens alkalmazást elemezett, amelyet a Qt könyvtárral írtak, és Linux, macOS, Windows, Android és iOS rendszerekhez szállítottak. A Mozilla VPN több mint 400 szerverrel működik együtt a svéd Mullvad VPN -szolgáltatótól több mint 30 országban. A kapcsolat a VPN -szolgáltatással a WireGuard protokoll használatával történik.
Az ellenőrzést a Cure53 végezte, amely egy ponton ellenőrizte az NTPsec, SecureDrop, Cryptocat, F-Droid és Dovecot projekteket. Az auditív forráskód -ellenőrzést és teszteket tartalmazott a potenciális biztonsági rések azonosítására (A kriptoval kapcsolatos kérdéseket nem vették figyelembe). Az ellenőrzés során 16 biztonsági problémát azonosítottak, amelyek közül 8 ajánlás jellegű, 5 alacsony veszélyességi szintet, kettő - közepes és egy magas - minősített.
A Mozilla ma közzétette független biztonsági auditját a Mozilla VPN-jéről, amely eszközszintű titkosítást, valamint a kapcsolat és az információk védelmét biztosítja az interneten, a Cure53 nevű, berlini székhelyű, pártatlan kiberbiztonsági cégtől, amely több mint 15 éve működik. szoftvertesztelés és kódellenőrzés. A Mozilla rendszeresen együttműködik külső szervezetekkel belső biztonsági programjaink kiegészítése és termékeink általános biztonságának javítása érdekében. A független ellenőrzés során két közepes és egy nagy súlyosságú problémát fedeztek fel. Ebben a blogbejegyzésben foglalkoztunk velük, és közzétettük a biztonsági ellenőrzési jelentést.
Megemlítik azonban, hogy csak közepes súlyosságú probléma sérülékenységnek minősítették, mivele volt az egyetlen, amely kihasználható volt és a jelentés leírja, hogy ez a probléma kiszivárogtatta a VPN használati információkat a kódból, hogy meghatározza a rögzített portált azáltal, hogy titkosítatlan közvetlen HTTP -kéréseket küld a VPN -alagúton kívülre, és felfedi a felhasználó elsődleges IP -címét, ha a támadó irányítani tudja a tranzitforgalmat. Ezenkívül a jelentés megemlíti, hogy a probléma megoldódik a Captive Portal Detection Mode letiltásával a beállításokban.
Tavalyi bevezetésünk óta a Mozilla VPN, a gyors és könnyen használható virtuális magánhálózati szolgáltatásunk hét országra bővült, beleértve Ausztriát, Belgiumot, Franciaországot, Németországot, Olaszországot, Spanyolországot és Svájcot, összesen 13 országban ahol a Mozilla VPN elérhető. Bővítettük VPN -szolgáltatásainkat is, és ez már elérhető Windows, Mac, Linux, Android és iOS platformokon. Végül, a támogatott nyelvek listája folyamatosan bővül, és a mai napig 28 nyelvet támogatunk.
Másrészt a második talált probléma a közepes súlyosságú és a nem számszerű értékek megfelelő tisztításának hiányával függ össze a portszámban, amely lehetővé teszi az OAuth hitelesítési paraméterek szűrését ha a port számát egy "1234@example.com" karakterlánccal helyettesíti, ami a HTML -címkék beállításához vezet, hogy a kérést a tartomány elérésével tegye meg, például a example.com a 127.0.0.1 helyett.
A harmadik probléma, veszélyesként megjelölve a jelentésben említett, le van írva Ez lehetővé teszi, hogy bármely nem hitelesített helyi alkalmazás hozzáférjen a VPN -ügyfélhez a localhosthoz kötött WebSocketen keresztül. Példaként bemutatjuk, hogy egy aktív VPN -ügyfél segítségével bármely webhely megszervezheti a képernyőkép létrehozását és kézbesítését a screen_capture esemény létrehozásával.
A problémát nem minősítették sebezhetőségnek, mivel a WebSocketet csak belső tesztfelépítésekben használták, és ennek a kommunikációs csatornának a használatát csak a jövőben tervezték a böngészőbővítménnyel való interakció megszervezése érdekében.
Végül ha érdekel, hogy többet tudjon meg róla A Mozilla által kiadott jelentésről a részletek a következő linken.
Az ellenőrzés nem számít. Csak 400 szerverük van, ez nevetséges, függetlenül attól, hogy mennyi auditon megy keresztül, ha csak 400 szervere van, szemben a 3000-6000-vel, amelyek a VPN-eknek az Isten szándéka szerint vannak. A Mozilla vpn egy kakarruta, a napok meg vannak számlálva.
Mindig első helyen áll az első világ országaiban.
@ 400 spártai:
A Mozilla nem rendelkezik saját VPN -kiszolgálókkal, ezek használják a Mullvad hálózatot (mintha a másik szolgáltatótól bérelték volna a szervereket). Az ellenőrzés számít!