Обновление Firefox 37.0.1 деактивирует функцию альтернативного шифрования


MozillaКомпания Mozilla Foundation выпустила обновление для своего продукта Mozilla Firefox. Обновление Mozilla Firefox 37.0.1 было призвано деактивировать функцию альтернативного шифрования, которое было представлено в предыдущей версии браузера Firefox 37. Сейчас известно, что отключение является временным решением и в первую очередь связано с уязвимостью в реализации поддержки HTTP/2 Alternative Services (Alt-Svc).

Выявленная брешь позволяет обойти проверку SSL-сертификатов при установке защищенного HTTPS-соединения, открывая двери для атаки "человек посередине".

Данная атака осуществляется посредством проведения манипуляций с заголовком Alt-Svc, позволяя задействовать для HTTP/2 режим шифрования без аутентификации. При таком шифровании поток данных шифруется без выполнения операций подтверждения достоверности сервера. Как результат - перестают отображаться уведомления о недействительных SSL-сертификатах. Благодаря этому злоумышленник может заменить оригинальный сертификат на свой собственный.

Как пояснили в Mozilla, альтернативное шифрование является отдельной функцией, которая связана с Alt-Svc. Именно по этой причине ее решили временно отключить. После тщательного изучения проблемы данный функционал будет восстановлен. Предполагается, что это произойдет в новой версии Firefox 38, релиз которой запланирован на 12 мая этого года.


Обновлено (07.04.2015 19:27)