Mae Mozilla wedi cyhoeddi cwblhau archwiliad annibynnol o feddalwedd cleientiaid ar gyfer cysylltu â gwasanaeth Mozilla VPN. Roedd yr archwiliad yn cynnwys dadansoddiad o raglen cleient annibynnol a ysgrifennwyd gan ddefnyddio'r llyfrgell Qt ac sydd ar gael ar gyfer Linux, macOS, Windows, Android ac iOS. Mae Mozilla VPN yn cael ei bweru gan fwy na 400 o weinyddion y darparwr VPN o Sweden Mullvad, sydd wedi'i leoli mewn mwy na 30 o wledydd. Gwneir cysylltiad â'r gwasanaeth VPN gan ddefnyddio'r protocol WireGuard.
Cynhaliwyd yr archwiliad gan Cure53, a oedd ar un adeg yn archwilio prosiectau NTPsec, SecureDrop, Cryptocat, F-Droid a Dovecot. Roedd yr archwiliad yn ymdrin â dilysu codau ffynhonnell ac yn cynnwys profion i nodi gwendidau posibl (ni chafodd materion yn ymwneud â cryptograffeg eu hystyried). Yn ystod yr archwiliad, adnabuwyd 16 o faterion diogelwch, gydag 8 ohonynt yn argymhellion, rhoddwyd lefel isel o berygl i 5, neilltuwyd lefel ganolig i ddau, a neilltuwyd lefel uchel o berygl i un.
Fodd bynnag, dim ond un mater â lefel difrifoldeb canolig a ddosbarthwyd fel bregusrwydd, gan mai dyma'r unig un y gellid ei hecsbloetio. Arweiniodd y mater hwn at ollwng gwybodaeth am ddefnydd VPN yn y cod canfod porth caeth oherwydd ceisiadau HTTP uniongyrchol heb eu hamgryptio a anfonwyd y tu allan i dwnnel VPN, gan ddatgelu prif gyfeiriad IP y defnyddiwr pe gallai'r ymosodwr reoli'r traffig cludo. Mae'r broblem yn cael ei datrys trwy analluogi modd canfod porth caeth yn y gosodiadau.
Mae ail broblem difrifoldeb canolig yn gysylltiedig â diffyg glanhau gwerthoedd nad ydynt yn rhifol yn gywir yn rhif y porthladd, sy'n caniatáu gollwng paramedrau dilysu OAuth trwy ddisodli rhif y porthladd â llinyn fel "[e-bost wedi'i warchod]", a fydd yn arwain at osod y tag[e-bost wedi'i warchod]/?code=..." alt=""> cyrchu example.com yn lle 127.0.0.1.
Mae'r trydydd mater, sydd wedi'i nodi'n beryglus, yn caniatáu i unrhyw raglen leol heb ddilysiad gael mynediad i gleient VPN trwy WebSocket sy'n rhwym i localhost. Er enghraifft, dangosir sut, gyda chleient VPN gweithredol, y gallai unrhyw wefan drefnu creu ac anfon sgrinlun trwy gynhyrchu'r digwyddiad screen_capture. Nid yw'r broblem yn cael ei dosbarthu fel bregusrwydd, gan mai dim ond mewn adeiladu prawf mewnol y defnyddiwyd WebSocket a dim ond yn y dyfodol y cynlluniwyd defnyddio'r sianel gyfathrebu hon i drefnu rhyngweithio ag ychwanegiad porwr.
Ffynhonnell: opennet.ru