ሞዚላ ከሞዚላ ቪፒኤን አገልግሎት ጋር ለመገናኘት የደንበኛ ሶፍትዌር ገለልተኛ ኦዲት ማጠናቀቁን አስታውቋል። ኦዲቱ የ Qt ቤተመፃህፍትን በመጠቀም የተፃፈ እና ለሊኑክስ ፣ማክኦኤስ ፣ዊንዶውስ ፣አንድሮይድ እና አይኦኤስ የሚገኝ ለብቻ የደንበኛ መተግበሪያ ትንታኔን አካቷል። ሞዚላ ቪፒኤን ከ400 በላይ በሚሆኑ የስዊድን ቪፒኤን አቅራቢ ሙልቫድ ከ30 በላይ አገሮች ውስጥ ይገኛል። ከቪፒኤን አገልግሎት ጋር ግንኙነት የሚደረገው የWireGuard ፕሮቶኮልን በመጠቀም ነው።
ኦዲቱ የተካሄደው Cure53 ሲሆን በአንድ ወቅት የ NTPsec, SecureDrop, Cryptocat, F-Droid እና Dovecot ፕሮጀክቶችን ኦዲት አድርጓል. ኦዲቱ የምንጭ ኮዶችን ማረጋገጥን ያካተተ ሲሆን ሊከሰቱ የሚችሉ ተጋላጭነቶችን ለመለየት ሙከራዎችን አካቷል (ከክሪፕቶግራፊ ጋር የተያያዙ ጉዳዮች ግምት ውስጥ አልገቡም)። በኦዲቱ ወቅት 16 የደህንነት ጉዳዮች ተለይተው 8ቱ የውሳኔ ሃሳቦች ሲሆኑ 5ቱ ዝቅተኛ የአደጋ ደረጃ፣ ሁለቱ መካከለኛ ደረጃ እና አንድ ከፍተኛ የአደጋ ደረጃ ተመድበዋል።
ነገር ግን፣ መካከለኛ የክብደት ደረጃ ያለው አንድ ጉዳይ ብቻ እንደ ተጋላጭነት ተመድቧል፣ ብቸኛው ጥቅም ላይ የዋለው እሱ ብቻ ነው። ይህ ችግር ከቪፒኤን ዋሻው ውጭ በተላኩ ቀጥተኛ የኤችቲቲፒ ጥያቄዎች ምክንያት የቪፒኤን አጠቃቀም መረጃ በምርኮኛው ፖርታል ማወቂያ ኮድ መውጣቱን አስከትሏል ይህም አጥቂው የመተላለፊያ ትራፊክን መቆጣጠር ከቻለ የተጠቃሚውን ዋና አይፒ አድራሻ ያሳያል። ችግሩ የሚቀረፈው በቅንብሮች ውስጥ ያለውን የምርኮኛ ፖርታል ማወቂያ ሁነታን በማሰናከል ነው።
ሁለተኛው የመካከለኛ ክብደት ችግር በወደብ ቁጥሩ ውስጥ የቁጥር ያልሆኑ እሴቶችን በትክክል ካለማጽዳት ጋር የተቆራኘ ነው ፣ ይህም የወደብ ቁጥሩን በሕብረቁምፊ በመተካት የ OAuth ማረጋገጫ መለኪያዎችን ማፍሰስ ያስችላል ።[ኢሜል የተጠበቀ]", ይህም መለያው እንዲጫን ያደርገዋል[ኢሜል የተጠበቀ]/?code=..." alt="">ከ127.0.0.1 ይልቅ example.com መድረስ።
ሦስተኛው እትም፣ አደገኛ ተብሎ የተጠቆመው፣ ማንኛውም የአገር ውስጥ መተግበሪያ ያለ ማረጋገጫ የቪፒኤን ደንበኛን በWebSocket ከአካባቢው አስተናጋጅ ጋር በተገናኘ እንዲደርስ ይፈቅዳል። እንደ ምሳሌ፣ ከነቃ የቪፒኤን ደንበኛ ጋር፣ ማንኛውም ጣቢያ የስክሪን_ቀረጻውን ክስተት በማመንጨት ቅጽበታዊ ገጽ እይታን መፍጠር እና መላክ እንዴት እንደሚያደራጅ ያሳያል። ችግሩ እንደ ተጋላጭነት አልተመደበም፣ ዌብሶኬት ጥቅም ላይ የሚውለው በውስጣዊ ሙከራ ግንባታዎች ውስጥ ብቻ ስለሆነ እና የዚህ የግንኙነት ቻናል አጠቃቀም ወደፊት ከአሳሽ ተጨማሪ ጋር መስተጋብር ለመፍጠር የታቀደ ነበር።
ምንጭ: opennet.ru