Mozilla ħabbret it-tlestija ta 'verifika indipendenti tas-softwer tal-klijent għall-konnessjoni mas-servizz VPN Mozilla. Il-verifika inkludiet analiżi ta’ applikazzjoni tal-klijent waħedha miktuba bl-użu tal-librerija Qt u disponibbli għal Linux, macOS, Windows, Android u iOS. Mozilla VPN huwa mħaddem minn aktar minn 400 server tal-fornitur Svediż tal-VPN Mullvad, li jinsab f'aktar minn 30 pajjiż. Il-konnessjoni mas-servizz VPN issir bl-użu tal-protokoll WireGuard.
Il-verifika twettqet minn Cure53, li f'ħin minnhom ivverifikat il-proġetti NTPsec, SecureDrop, Cryptocat, F-Droid u Dovecot. Il-verifika kopriet il-verifika tal-kodiċijiet tas-sors u inkludiet testijiet biex jiġu identifikati vulnerabbiltajiet possibbli (kwistjonijiet relatati mal-kriptografija ma ġewx ikkunsidrati). Matul il-verifika, ġew identifikati 16-il kwistjoni ta' sikurezza, li 8 minnhom kienu rakkomandazzjonijiet, 5 ġew assenjati livell baxx ta' periklu, tnejn ġew assenjati livell medju, u waħda ġiet assenjata livell għoli ta' periklu.
Madankollu, kwistjoni waħda biss b'livell ta' severità medju kienet ikklassifikata bħala vulnerabbiltà, peress li kienet l-unika waħda li kienet sfruttabbli. Din il-kwistjoni rriżultat fi tnixxija ta 'informazzjoni dwar l-użu VPN fil-kodiċi ta' sejbien tal-portal captive minħabba talbiet HTTP diretti mhux kriptati mibgħuta barra l-mina VPN, li tiżvela l-indirizz IP primarju tal-utent jekk l-attakkant jista 'jikkontrolla t-traffiku ta' transitu. Il-problema tissolva billi tiddiżattiva l-mod ta 'skoperta tal-portal captive fis-settings.
It-tieni problema ta 'severità medja hija assoċjata man-nuqqas ta' tindif xieraq ta 'valuri mhux numeriċi fin-numru tal-port, li jippermetti tnixxija ta' parametri ta 'awtentikazzjoni OAuth billi tissostitwixxi n-numru tal-port b'sekwenza bħal "[protett bl-email]", li se tikkawża li t-tikketta tiġi installata[protett bl-email]/?code=..." alt=""> jaċċessa example.com minflok 127.0.0.1.
It-tielet kwistjoni, immarkata bħala perikoluża, tippermetti li kwalunkwe applikazzjoni lokali mingħajr awtentikazzjoni taċċessa klijent VPN permezz ta 'WebSocket marbut ma' localhost. Bħala eżempju, jintwera kif, b'klijent VPN attiv, kwalunkwe sit jista 'jorganizza l-ħolqien u l-bgħit ta' screenshot billi jiġġenera l-avveniment screen_capture. Il-problema mhix klassifikata bħala vulnerabbiltà, peress li WebSocket intuża biss f'bini ta 'test intern u l-użu ta' dan il-kanal ta 'komunikazzjoni kien ippjanat biss fil-futur biex tiġi organizzata l-interazzjoni ma' add-on tal-browser.
Sors: opennet.ru