A Mozilla közzétette VPN -ügyfele ellenőrzési eredményeit

Pár napja Mozilla megjelent közleményének közzététele a független ellenőrzés befejezése olyan ügyfélszoftverhez készült, amelyet a Mozilla VPN -szolgáltatásához való csatlakozáshoz használnak.

Az ellenőrzés egy külön kliens alkalmazást elemezett, amelyet a Qt könyvtárral írtak, és Linux, macOS, Windows, Android és iOS rendszerekhez szállítottak. A Mozilla VPN több mint 400 szerverrel működik együtt a svéd Mullvad VPN -szolgáltatótól több mint 30 országban. A kapcsolat a VPN -szolgáltatással a WireGuard protokoll használatával történik.

Az ellenőrzést a Cure53 végezte, amely egy ponton ellenőrizte az NTPsec, SecureDrop, Cryptocat, F-Droid és Dovecot projekteket. Az auditív forráskód -ellenőrzést és teszteket tartalmazott a potenciális biztonsági rések azonosítására (A kriptoval kapcsolatos kérdéseket nem vették figyelembe). Az ellenőrzés során 16 biztonsági problémát azonosítottak, amelyek közül 8 ajánlás jellegű, 5 alacsony veszélyességi szintet, kettő - közepes és egy magas - minősített.

A Mozilla ma közzétette független biztonsági auditját a Mozilla VPN-jéről, amely eszközszintű titkosítást, valamint a kapcsolat és az információk védelmét biztosítja az interneten, a Cure53 nevű, berlini székhelyű, pártatlan kiberbiztonsági cégtől, amely több mint 15 éve működik. szoftvertesztelés és kódellenőrzés. A Mozilla rendszeresen együttműködik külső szervezetekkel belső biztonsági programjaink kiegészítése és termékeink általános biztonságának javítása érdekében. A független ellenőrzés során két közepes és egy nagy súlyosságú problémát fedeztek fel. Ebben a blogbejegyzésben foglalkoztunk velük, és közzétettük a biztonsági ellenőrzési jelentést.

Megemlítik azonban, hogy csak közepes súlyosságú probléma sérülékenységnek minősítették, mivele volt az egyetlen, amely kihasználható volt és a jelentés leírja, hogy ez a probléma kiszivárogtatta a VPN használati információkat a kódból, hogy meghatározza a rögzített portált azáltal, hogy titkosítatlan közvetlen HTTP -kéréseket küld a VPN -alagúton kívülre, és felfedi a felhasználó elsődleges IP -címét, ha a támadó irányítani tudja a tranzitforgalmat. Ezenkívül a jelentés megemlíti, hogy a probléma megoldódik a Captive Portal Detection Mode letiltásával a beállításokban.

Tavalyi bevezetésünk óta a Mozilla VPN, a gyors és könnyen használható virtuális magánhálózati szolgáltatásunk hét országra bővült, beleértve Ausztriát, Belgiumot, Franciaországot, Németországot, Olaszországot, Spanyolországot és Svájcot, összesen 13 országban ahol a Mozilla VPN elérhető. Bővítettük VPN -szolgáltatásainkat is, és ez már elérhető Windows, Mac, Linux, Android és iOS platformokon. Végül, a támogatott nyelvek listája folyamatosan bővül, és a mai napig 28 nyelvet támogatunk.

Másrészt a második talált probléma a közepes súlyosságú és a nem számszerű értékek megfelelő tisztításának hiányával függ össze a portszámban, amely lehetővé teszi az OAuth hitelesítési paraméterek szűrését ha a port számát egy "1234@example.com" karakterlánccal helyettesíti, ami a HTML -címkék beállításához vezet, hogy a kérést a tartomány elérésével tegye meg, például a example.com a 127.0.0.1 helyett.

A harmadik probléma, veszélyesként megjelölve a jelentésben említett, le van írva Ez lehetővé teszi, hogy bármely nem hitelesített helyi alkalmazás hozzáférjen a VPN -ügyfélhez a localhosthoz kötött WebSocketen keresztül. Példaként bemutatjuk, hogy egy aktív VPN -ügyfél segítségével bármely webhely megszervezheti a képernyőkép létrehozását és kézbesítését a screen_capture esemény létrehozásával.

A problémát nem minősítették sebezhetőségnek, mivel a WebSocketet csak belső tesztfelépítésekben használták, és ennek a kommunikációs csatornának a használatát csak a jövőben tervezték a böngészőbővítménnyel való interakció megszervezése érdekében.

Végül ha érdekel, hogy többet tudjon meg róla A Mozilla által kiadott jelentésről a részletek a következő linken.


3 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   400 spártai dijo

    Az ellenőrzés nem számít. Csak 400 szerverük van, ez nevetséges, függetlenül attól, hogy mennyi auditon megy keresztül, ha csak 400 szervere van, szemben a 3000-6000-vel, amelyek a VPN-eknek az Isten szándéka szerint vannak. A Mozilla vpn egy kakarruta, a napok meg vannak számlálva.

    1.    frank vár dijo

      Mindig első helyen áll az első világ országaiban.

  2.   Káin dijo

    @ 400 spártai:
    A Mozilla nem rendelkezik saját VPN -kiszolgálókkal, ezek használják a Mullvad hálózatot (mintha a másik szolgáltatótól bérelték volna a szervereket). Az ellenőrzés számít!