Mozilla parantos ngumumkeun parantosan pamariksaan bebas tina parangkat lunak klien pikeun nyambungkeun kana jasa Mozilla VPN. Inok kaasup analisa aplikasi klien mandiri anu ditulis nganggo perpustakaan Qt sareng sayogi pikeun Linux, macOS, Windows, Android sareng ios. Mozilla VPN didamel ku langkung ti 400 server panyadia VPN Swedia Mullvad, ayana di langkung ti 30 nagara. Sambungan ka layanan VPN dijieun maké protokol WireGuard.
Inok dilaksanakeun ku Cure53, anu dina hiji waktos ngaudit proyék NTPsec, SecureDrop, Cryptocat, F-Droid sareng Dovecot. Inok nutupan verifikasi kode sumber sareng kalebet tés pikeun ngaidentipikasi kamungkinan kerentanan (masalah anu aya hubunganana sareng kriptografi henteu dianggap). Salila pamariksaan, 16 masalah kaamanan diidentifikasi, 8 diantarana saran, 5 ditugaskeun tingkat bahaya anu handap, dua ditugaskeun tingkat sedeng, sareng hiji ditugaskeun bahaya tingkat luhur.
Nanging, ngan ukur hiji masalah kalayan tingkat parah sedeng anu digolongkeun salaku kerentanan, sabab éta ngan hiji-hijina anu tiasa dieksploitasi. Masalah ieu nyababkeun kabocoran inpormasi pamakean VPN dina kode deteksi portal captive kusabab pamundut HTTP langsung anu henteu énkripsi dikirim di luar torowongan VPN, ngungkabkeun alamat IP primér pangguna upami panyerang tiasa ngontrol lalu lintas transit. Masalahna direngsekeun ku nganonaktipkeun mode deteksi portal captive dina setélan.
Masalah kadua severity sedeng pakait sareng kurangna beberesih ditangtoskeun tina nilai non-numerik dina nomer port, anu ngamungkinkeun leakage parameter auténtikasi OAuth ku ngaganti nomer port ku string kawas "[email dijaga]", anu bakal nyababkeun tag dipasang[email dijaga]/?code=..." alt=""> ngakses example.com tinimbang 127.0.0.1.
Isu katilu, flagged sakumaha bahaya, ngamungkinkeun sagala aplikasi lokal tanpa auténtikasi ngakses hiji klien VPN via WebSocket kabeungkeut localhost. Salaku conto, ditingalikeun kumaha, sareng klien VPN aktip, situs mana waé tiasa ngatur nyiptakeun sareng ngirim layar layar ku cara ngahasilkeun acara screen_capture. Masalahna henteu digolongkeun kana kerentanan, sabab WebSocket ngan ukur dianggo dina ngawangun tés internal sareng panggunaan saluran komunikasi ieu ngan ukur direncanakeun pikeun ngatur interaksi sareng browser tambihan.
sumber: opennet.ru