Mozilla qedandina kontrolkirina serbixwe ya nermalava xerîdar ji bo girêdana bi karûbarê Mozilla VPN re ragihand. Vedîtinê analîzek serîlêdanek xerîdar a serbixwe ku bi karanîna pirtûkxaneya Qt hatî nivîsandin û ji bo Linux, macOS, Windows, Android û iOS-ê heye, vedihewîne. Mozilla VPN ji hêla zêdetirî 400 serverên pêşkêşvanê VPN-a swêdî Mullvad, ku li zêdetirî 30 welatan cih digire, tê hêz kirin. Girêdana bi karûbarê VPN re bi karanîna protokola WireGuard ve tê çêkirin.
Vedîtin ji hêla Cure53 ve hate kirin, ku yek carî projeyên NTPsec, SecureDrop, Cryptocat, F-Droid û Dovecot kontrol kirin. Vedîtin verastkirina kodên çavkaniyê vegirt û ceribandinên ji bo tespîtkirina qelsiyên muhtemel pêk anî (pirsgirêkên bi şîfrekirinê ve nehatin hesibandin). Di kontrolê de 16 mijarên ewlehiyê hatin tesbîtkirin ku 8 jê pêşnîyaz, 5 ji wan asta xetereyê kêm, XNUMX jî di asta navîn û yek jî asta xetereyê ya bilind hat destnîşankirin.
Lêbelê, tenê yek pirsgirêkek bi astek giraniya navîn wekî qelsiyek hate veqetandin, ji ber ku ew yekane ya ku dihat bikar anîn bû. Vê pirsgirêkê ji ber daxwazên rasterast ên HTTP-ê yên neşîfrekirî yên ku li derveyî tunela VPN hatine şandin, agahdariya karanîna VPN-ê di koda vedîtina portalê ya girtî de derdixîne, navnîşana IP-ya bingehîn a bikarhêner eşkere dike ger êrîşkar bikaribe seyrûsefera derbasbûnê kontrol bike. Pirsgirêk bi neçalakkirina moda tespîtkirina portalê ya girtî di mîhengan de tê çareser kirin.
Pirsgirêka duyemîn a giraniya navîn bi nebûna paqijkirina rast a nirxên ne-hejmarî yên di jimareya portê de, ku rê dide rijandina pîvanên rastkirina OAuth bi guheztina jimareya portê bi rêzek mîna "[email parastî]", ku dê bibe sedem ku tag were saz kirin[email parastî]/?code=..." alt=""> di şûna 127.0.0.1 de bigihîje example.com.
Pirsgirêka sêyemîn, ku wekî xeternak tê îşaret kirin, dihêle ku her serîlêdana herêmî bêyî pejirandinê bigihîje xerîdarek VPN bi navgîniya WebSocketek ku bi localhost ve girêdayî ye. Wekî mînakek, tê destnîşan kirin ku çawa, bi xerîdarek VPN-ya çalak re, her malper dikare bi çêkirina bûyera screen_capture ve çêkirin û şandina dîmenek organîze bike. Pirsgirêk wekî qelsiyek nayê dabeş kirin, ji ber ku WebSocket tenê di avahiyên ceribandina hundurîn de hate bikar anîn û karanîna vê kanala ragihandinê tenê di pêşerojê de hate plan kirin da ku pêwendiya bi pêvekek gerokê re organîze bike.
Source: opennet.ru