Mozilla dia nanambara ny fahavitan'ny fanaraha-maso tsy miankina amin'ny rindrambaiko mpanjifa amin'ny fifandraisana amin'ny serivisy Mozilla VPN. Ny fanaraha-maso dia nahitana famakafakana ny fampiharana mpanjifa tokana nosoratana tamin'ny alàlan'ny tranomboky Qt ary azo alaina ho an'ny Linux, macOS, Windows, Android ary iOS. Mozilla VPN dia ampiasain'ny mpizara 400 mahery an'ny mpamatsy VPN Soedoà Mullvad, any amin'ny firenena 30 mahery. Ny fifandraisana amin'ny serivisy VPN dia atao amin'ny alàlan'ny protocol WireGuard.
Ny fanaraha-maso dia nataon'ny Cure53, izay nanara-maso ny tetikasa NTPsec, SecureDrop, Cryptocat, F-Droid ary Dovecot. Ny fanaraha-maso dia nandrakotra ny fanamarinana ny kaody loharano ary nahitana fitsapana hamantarana ny mety ho vulnerability (tsy nodinihina ny olana mifandraika amin'ny cryptography). Nandritra ny fanaraha-maso dia 16 ny olana momba ny fiarovana, ny 8 amin'izy ireo dia tolo-kevitra, 5 nomena ny ambaratonga ambany, ny roa nomena ny antonony, ary ny iray nomena ny loza.
Na izany aza, olana iray ihany miaraka amin'ny haavo antonony no voasokajy ho vulnerable, satria io ihany no azo trandrahana. Ity olana ity dia niteraka fahapotehan'ny fampahalalana momba ny fampiasana VPN ao amin'ny kaody fisavana vavahadin-tsambo babo noho ny fangatahana HTTP mivantana tsy voafehy nalefa ivelan'ny tonelina VPN, manambara ny adiresy IP voalohany an'ny mpampiasa raha afaka mifehy ny fifamoivoizana ny mpanafika. Ny olana dia voavaha amin'ny alàlan'ny fanalana ny fomba fisavana vavahadin-tserasera voababo ao amin'ny toe-javatra.
Ny olana faharoa amin'ny hamafin'ny antonony dia mifandray amin'ny tsy fahampian'ny fanadiovana araka ny tokony ho izy ny sanda tsy misy isa ao amin'ny laharan'ny seranan-tsambo, izay mamela ny leakage ny mari-pamantarana fanamarinana OAuth amin'ny fanoloana ny laharan'ny seranana amin'ny tady toy ny "[email voaaro]", izay hahatonga ny marika hapetraka[email voaaro]/?code=..." alt=""> miditra amin'ny example.com fa tsy 127.0.0.1.
Ny olana fahatelo, voamarika ho mampidi-doza, dia mamela ny fampiharana eo an-toerana tsy misy fanamarinana hiditra amin'ny mpanjifa VPN amin'ny alàlan'ny WebSocket mifatotra amin'ny localhost. Ohatra, aseho amin'ny fomba, miaraka amin'ny mpanjifa VPN mavitrika, ny tranokala rehetra dia afaka mandamina ny famoronana sy fandefasana pikantsary amin'ny alàlan'ny famoronana hetsika screen_capture. Ny olana dia tsy sokajiana ho vulnerability, satria ny WebSocket dia tsy nampiasaina afa-tsy tamin'ny fananganana fitsapana anatiny ary ny fampiasana an'ity fantsona fifandraisana ity dia nomanina ho an'ny ho avy mba handaminana fifandraisana amin'ny navigateur add-on.
Source: opennet.ru