Mozilo anoncis la kompletigon de sendependa revizio de la klienta programaro por konekto al la VPN-servo de Mozilo. La revizio inkluzivis analizon de memstara klienta aplikaĵo skribita per la biblioteko Qt kaj liverita por Linux, macOS, Windows, Android и iOS. Работу Mozilla VPN обеспечивает более 400 серверов шведского VPN-провайдера Mullvad, размещённых в более чем 30 странах. Подключение к VPN-сервису производится при помощи протокола WireGuard.
La revizio estis farita de Cure53, kiu siatempe reviziis la projektojn NTPsec, SecureDrop, Cryptocat, F-Droid kaj Dovecot. La revizio kovris la konfirmon de fontkodoj kaj inkludis testojn por identigi eblajn vundeblecojn (temoj ligitaj al kriptografio ne estis pripensitaj). Dum la revizio, 16 sekurecaj aferoj estis identigitaj, 8 el kiuj estis rekomendoj, 5 ricevis malaltan nivelon de danĝero, du ricevis mezan nivelon, kaj unu ricevis altan nivelon de danĝero.
Tamen, nur unu afero kun meza severeca nivelo estis klasifikita kiel vundebleco, ĉar ĝi estis la nura kiu estis ekspluatebla. Ĉi tiu problemo rezultigis elfluon de informoj pri VPN-uzo en la detekta kodo de kaptita portalo pro neĉifritaj rektaj HTTP-petoj senditaj ekster la VPN-tunelo, rivelante la ĉefan IP-adreson de la uzanto se la atakanto povus kontroli la trafikan trafikon. La problemo estas solvita malŝaltante la malliberecan portalan detektan reĝimon en la agordoj.
La dua meznivela problemo rilatas al la manko de ĝusta purigo de ne-numeraj valoroj en la pordnumero, kio ebligas elfluon de OAuth-aŭtentigaj parametroj anstataŭigante la pordnumeron per ĉeno kiel "1234@example.com", kio kondukos al la instalado de la etikedo. , alirante example.com anstataŭ 127.0.0.1.
La tria afero, markita kiel danĝera, permesas al ajna loka aplikaĵo sen aŭtentikigo aliri VPN-klienton per WebSocket ligita al localhost. Ekzemple, estas montrite kiel, kun aktiva VPN-kliento, iu ajn retejo povus organizi la kreadon kaj sendon de ekrankopio generante la eventon screen_capture. La problemo ne estas klasifikita kiel vundebleco, ĉar WebSocket estis uzata nur en internaj testaj konstruoj kaj la uzo de ĉi tiu komunika kanalo estis nur planita estonte por organizi interagon kun retumila aldonaĵo.
fonto: opennet.ru
