Mozilla anoncis la kompletigon de sendependa revizio de klienta programaro por konekti al la Mozilla VPN-servo. La revizio inkludis analizon de memstara klientapliko skribita uzante la Qt-bibliotekon kaj havebla por Linukso, macOS, Vindozo, Android kaj iOS. Mozilla VPN estas funkciigita de pli ol 400 serviloj de la sveda VPN-provizanto Mullvad, situanta en pli ol 30 landoj. Konekto al la VPN-servo estas farita per la protokolo WireGuard.
La revizio estis farita de Cure53, kiu siatempe reviziis la projektojn NTPsec, SecureDrop, Cryptocat, F-Droid kaj Dovecot. La revizio kovris la konfirmon de fontkodoj kaj inkludis testojn por identigi eblajn vundeblecojn (temoj ligitaj al kriptografio ne estis pripensitaj). Dum la revizio, 16 sekurecaj aferoj estis identigitaj, 8 el kiuj estis rekomendoj, 5 ricevis malaltan nivelon de danĝero, du ricevis mezan nivelon, kaj unu ricevis altan nivelon de danĝero.
Tamen, nur unu afero kun meza severeca nivelo estis klasifikita kiel vundebleco, ĉar ĝi estis la nura kiu estis ekspluatebla. Ĉi tiu problemo rezultigis elfluon de informoj pri VPN-uzo en la detekta kodo de kaptita portalo pro neĉifritaj rektaj HTTP-petoj senditaj ekster la VPN-tunelo, rivelante la ĉefan IP-adreson de la uzanto se la atakanto povus kontroli la trafikan trafikon. La problemo estas solvita malŝaltante la malliberecan portalan detektan reĝimon en la agordoj.
La dua problemo de meza severeco estas asociita kun la manko de taŭga purigado de ne-nombraj valoroj en la havenonumero, kiu ebligas elfluon de OAuth-aŭtentikigparametroj anstataŭigante la havenan numeron per ĉeno kiel "[retpoŝte protektita]", kiu igos la etikedon esti instalita[retpoŝte protektita]/?code=..." alt=""> alirante example.com anstataŭ 127.0.0.1.
La tria afero, markita kiel danĝera, permesas al ajna loka aplikaĵo sen aŭtentikigo aliri VPN-klienton per WebSocket ligita al localhost. Ekzemple, estas montrite kiel, kun aktiva VPN-kliento, iu ajn retejo povus organizi la kreadon kaj sendon de ekrankopio generante la eventon screen_capture. La problemo ne estas klasifikita kiel vundebleco, ĉar WebSocket estis uzata nur en internaj testaj konstruoj kaj la uzo de ĉi tiu komunika kanalo estis nur planita estonte por organizi interagon kun retumila aldonaĵo.
fonto: opennet.ru